Уязвимость модуля nf_tables подсистемы netfilter ядра операционных систем Linux связана с выходом операции записи за границы буфера в памяти при обработке индексов. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии с помощью вызовов unshare(CLONE_NEWUSER) или unshare(CLONE_NEWNET)
BDU:2022-01629
CVE-2022-1015
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6e1acfa387b9ff82cfc7db8cc3b6959221a95851
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17.1
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.18
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.32
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1015
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1015
Организационные меры:
- отключить для непривилегированных пользователей возможности запуска вызовов unshare(CLONE_NEWUSER) или unshare(CLONE_NEWNET), которые можно выполнить с помощью следующей команды:
echo 0 > /proc/sys/user/max_user_namespaces
Или отключить использование пространств имен пользователей, добавив следующую строку в файл в каталоге «/etc/sysctl.d/» :
user.max_user_namespaces = 0
Файлы конфигурации системы необходимо перезагрузить, чтобы изменения вступили в силу. Чтобы перезагрузить содержимое файлов, выполните следующую команду:
$ sudo sysctl --system
BDU:2022-01629
CVE-2022-1015
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6e1acfa387b9ff82cfc7db8cc3b6959221a95851
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.17.1
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.18
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.32
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1015
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1015
Организационные меры:
- отключить для непривилегированных пользователей возможности запуска вызовов unshare(CLONE_NEWUSER) или unshare(CLONE_NEWNET), которые можно выполнить с помощью следующей команды:
echo 0 > /proc/sys/user/max_user_namespaces
Или отключить использование пространств имен пользователей, добавив следующую строку в файл в каталоге «/etc/sysctl.d/» :
user.max_user_namespaces = 0
Файлы конфигурации системы необходимо перезагрузить, чтобы изменения вступили в силу. Чтобы перезагрузить содержимое файлов, выполните следующую команду:
$ sudo sysctl --system