原文

Linuxカーネルにおいて、以下の脆弱性が修正されました。netfilterのnf_tablesにおけるnft_map_catchall_activate()関数の逆転したgenmaskチェックが修正されました。nft_map_catchall_activate()はcatchallでない対応関数であるnft_mapelem_activate()および論理的に必要な動作と比較すると、要素のアクティビティチェックが逆転していました。nft_map_catchall_activate()は失敗したトランザクション中に非アクティブ化されたcatchallマップ要素を再アクティブ化するために中止パスから呼び出されます。この関数はすでにアクティブな要素をスキップし（再アクティブ化不要）、非アクティブな要素を処理すべきですが、現行のコードはその逆を行い、非アクティブな要素をスキップしアクティブな要素を処理していました。正しい非catchall版のコールバックであるnft_mapelem_activate()と比較すると、バグのあるcatchall版は不適切な条件を用いています。この結果、DELSET操作が中止された場合、catchall要素に対してnft_setelem_data_activate()が呼ばれず、NFT_GOTO判定要素においてnft_data_hold()が呼ばれずにchain-use参照カウントが復元されません。そのため、各中止サイクルでchain-useが永久に減少し、ゼロになるとDELCHAINが成功してチェーンを解放しますが、catchall判定要素はまだそれを参照し続け、use-after-freeが発生します。この脆弱性はCONFIG_USER_NSとCONFIG_NF_TABLESが有効なディストリビューションにおいて、ユーザーネームスペースとnftablesを通じて非特権ユーザーがローカル権限昇格を行うために悪用可能です。修正では否定を除去し、チェックがnft_mapelem_activate()と一致するように変更し、アクティブな要素をスキップし非アクティブな要素を処理する動作に修正しました。