5.0.8-dan oldingi Linux yadrosi versiyalari masofadan kod ijro etilishiga moyil.
Zaiflikdan foydalanish uchun na ruxsat, na foydalanuvchi ishtiroki talab etiladi.
Linux tarqatmalari, 5.0.8-dan oldingi yadro versiyalariga ega bo’lganlari parallelizm noaniqligi yoki «race condition» deb ataladigan holatga moyil bo’lib, bu esa xotira bo’shatilgandan keyin ham undan foydalanishga olib kelishi mumkin. Muammo net/rds/tcp.c faylidagi TCP/IP rds_tcp_kill_sock implementatsiyasiga ta’sir qiladi va hujumchiga zaif Linux tizimida xizmat ko’rsatishni rad etish yoki masofadan kod ijro etish imkonini beradi. Ushbu zaiflikdan foydalanish uchun maxsus tayyorlangan TCP paketlari zaif tizimlarga yuboriladi, bu esa use-after-free xatolariga olib kelishi mumkin. Hujumni amalga oshirish uchun na avtorizatsiya, na foydalanuvchi aralashuvi talab etiladi.
Zaiflikka CVE-2019-11815 identifikatori (Red Hat, Ubuntu, SUSE va Debian uchun) berilgan. CVSS 3.0 tizimiga ko’ra, bu potentsial hujumchi uchun barcha resurslarga kirish, istalgan fayllarni o’zgartirish va resurslarga kirishni bloklash imkonini beradi.
Ushbu zaiflik uchun yamalar joriy yil mart oyida chiqarildi. Muammo 17 aprel kuni chiqarilgan Linux yadrosining 5.0.8 versiyasida tuzatildi.
