CVE-2021-22555

As versões do Linux anteriores à 2.6.19-rc1 não foram especificadas, mas as versões a partir da v2.6.19-rc1 estão afetadas.

O problema está relacionado a uma gravação fora dos limites da pilha (heap out-of-bounds) no subsistema netfilter do kernel do Linux, especificamente no arquivo net/netfilter/x tables.c. Isso permite que um invasor obtenha privilégios ou cause uma negação de serviço (DoS) através do espaço de nomes do usuário, explorando a vulnerabilidade na função xt compat target from user(). A vulnerabilidade pode ser explorada chamando compat setsockopt() com os valores IPT SO SET REPLACE ou IP6T SO SET REPLACE definidos. Foi desenvolvida uma exploração de prova de conceito, que pode contornar mecanismos de segurança como KASLR, SMAP e SMEP e conseguir a execução de código do kernel. O pesquisador que descobriu a vulnerabilidade recebeu uma recompensa de US$ 20.000 do Google por identificar um método para contornar o isolamento de contêineres em um cluster do Kubernetes.

Como solução temporária, considere desativar a função xt compat target from user() até que um patch esteja disponível. Restrinja o acesso ao subsistema netfilter para minimizar o risco de exploração. Evite usar a função compat setsockopt() com os valores IPT SO SET REPLACE ou IP6T SO SET REPLACE definidos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.