Уязвимость в Linux Netfilter позволяет выполнить код на уровне ядра

Уязвимость в Linux Netfilter позволяет выполнить код на уровне ядра

Уязвимость в Linux Netfilter позволяет выполнить код на уровне ядра

В подсистеме Netfilter ядра Linux выявлена уязвимость, позволяющая локальному пользователю повысить привилегии и выполнить произвольный код, выйти за пределы контейнера или вызвать в системе состояние отказа в обслуживании (DoS).

Проблема CVE-2022-25636 (7,8 балла CVSS) классифицируется как запись за границами буфера в куче. Опасная ошибка возникает при выполнении функции nft_fwd_dup_netdev_offload, отвечающей за настройку правил пакетного фильтра и проверку поддержки аппаратного ускорения обработки пакетов (offload).

Уязвимости подвержены версии ядра Linux с 5.4 по 5.6.10. Патч уже создан, но корректирующие выпуски ядра пока не появились. Списки затронутых пакетов в дистрибутивах с указанием статуса опубликованы на сайтах Red Hat, Ubuntu и SUSE.

Как оказалось, в Ubuntu новую дыру оперативно залатали, притом одновременно с Dirty Pipe (CVE-2022-0847). Эта раскрытая в начале марта уязвимость тоже позволяет локально повысить привилегии и грозит захватом контроля над системой.

Два дня назад автор новой находки в ядре Linux раскрыл подробности CVE-2022-25636 и рассказал, как ему удалось создать PoC-код, который подходит и для сетевых устройств, не поддерживающих offload. Исследователь также отметил, что пока он готовил блог-запись, на GitHub появился похожий эксплойт, но проверить работоспособность чужого инструмента он не успел.

Яндекс открыл карту с топливом и очередями на АЗС для всех водителей

Яндекс открыл интерактивную карту с данными о наличии топлива и очередях на заправках для всех пользователей «Яндекс Go» и приложения «Яндекс Заправки». Раньше такой инструмент был доступен только водителям такси, а теперь посмотреть, где есть нужное топливо и где не придётся стоять вечность, смогут обычные автомобилисты.

На карте можно увидеть АЗС, где водители заправлялись недавно, отфильтровать станции по нужному типу топлива и проверить, есть ли очередь.

Информация об очередях пока работает в тестовом режиме в Москве и Санкт-Петербурге, но в ближайшие недели её обещают запустить и в других городах.

 

 

Чтобы понять, что происходит на конкретной заправке, Яндекс собирает данные из разных источников. В ход идут технология, похожая на «Пробки», информация из «Карт», заказы топлива через «Яндекс Заправки» и опросы водителей — как тех, кто уже заправился, так и тех, кто просто проезжал мимо.

Идея простая: меньше гаданий в стиле «доеду или встану», больше конкретики на карте. Особенно полезно это может быть в моменты повышенного спроса, когда одна АЗС уже собирает хвост из машин, а на другой поблизости всё ещё можно спокойно залить бак.

Функция доступна в «Яндекс Go» и «Яндекс Заправках».

RSS: Новости на портале Anti-Malware.ru