CVE-2023-53076

Nome do Software Vulnerável e Versões Afetadas Versões do kernel Linux anteriores à versão com o bpf jit limit ajustado

Descrição Uma vulnerabilidade no kernel Linux foi resolvida, relacionada ao bpf jit limit padrão ser insuficiente. Esse problema foi observado em relatos de usuários do AWS EKS (Kubernetes), onde contêineres ficavam presos no estado ContainerCreating ou sondas de liveness/readiness relatavam erros após a atualização dos nós do EKS. O erro foi causado pela incapacidade de carregar filtros seccomp no kernel devido ao bpf jit limit estar muito baixo. O limite padrão foi originalmente definido como 1/4 do espaço de memória do módulo, mas foi ajustado para 1/2 para refletir melhor as necessidades atuais e evitar problemas difíceis de depurar.

Recomendações Para versões do kernel Linux anteriores à versão com o bpf jit limit ajustado, considere ajustar o bpf jit limit para um valor mais alto, como 452534528, usando o comando sysctl, por exemplo, sysctl net.core.bpf jit limit=452534528, para permitir imediatamente que contêineres sejam criados e sondas sejam executadas. No entanto, esta é apenas uma solução alternativa temporária, e recomenda-se atualizar para uma versão mais recente do kernel Linux que inclua o bpf jit limit ajustado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.