Netfilter — подсистема ядра, более известная по пользовательской утилите iptables, предоставляющей для неё интерфейс командной строки, и используемой для управления правилами брандмауэра. [ CVE-2021-22555 ]( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22555 ) при определённых условиях позволяет повышение привилегий. Уязвимость впервые [ появилась ]( https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/net/netfilter/x_tables.c?id=9fa492cdc160cd27ce1046cb36f47d3b2b1efa21 ) в Linux 2.6.19-rc1, но для её эксплуатации непривилегированному пользователю необходима функциональность user namespaces, появившаяся в 3.8 версии ядра, и которая может быть отключена в зависимости от дистрибутива. В [ Arch Linux ]( https://security.archlinux.org/CVE-2021-22555 ) , [ Debian ]( https://security-tracker.debian.org/tracker/CVE-2021-22555 ) и [ Fedora ]( https://bugzilla.redhat.com/show_bug.cgi?id=1980102 ) исправления уже подготовили, а в openSUSE и [ Ubuntu ]( https://ubuntu.com/security/CVE-2021-22555 ) , где user namespaces по-умолчанию включены, ещё нет. Уязвимость связана с записью за пределы буфера (write out-of-bounds) и использованием данных в памяти после её освобождения (use-after-free). Она была использована для обхода изоляции контейнеров в kCTF demo cluster, за что Google обещала награду от $5000 до $10 000. Исследователь в сфере безопасности Andy Nguyen, обнаруживший уязвимость, собирается потратить выигранные $10 000 на благотворительность, в этом случае Google удвоит пожертвование.
Ссылка: https://www.linux.org.ru/news/security/16425990