CVE-2024-42318

Versões do kernel Linux anteriores à 6.6.50

O problema surge quando a estrutura cred de um processo é substituída, normalmente invocando o gancho LSM cred prepare, mas, em um caso especial em que KEYCTL SESSION TO PARENT atualiza as credenciais do pai, o gancho LSM cred transfer é usado em seu lugar. Como o Landlock implementa apenas o gancho cred prepare e não o cred transfer, isso resulta na perda de todas as restrições do Landlock sobre o processo. Um processo com a capacidade de usar as chamadas de sistema fork() e keyctl() pode explorar isso para contornar as restrições do Landlock. A correção envolve adicionar um gancho cred transfer que funcione de maneira semelhante ao gancho cred prepare existente, implementado fazendo com que hook cred prepare() chame hook cred transfer() para evitar divergências acidentais.

Para resolver o problema, atualize para a versão 6.6.50 ou posterior do kernel do Linux. Como solução alternativa temporária, considere restringir o uso das chamadas de sistema fork() e keyctl() para minimizar o risco de exploração. Além disso, limitar o acesso ao gancho cred transfer até que um patch seja aplicado pode ajudar a mitigar o problema.