Une vulnérabilité a été trouvée dans le code du sous-système iSCSI du noyau Linux qui permet une connexion non privilégiée.
Il est signalé que la vulnérabilité a déjà été corrigée dans les mises à jour du noyau Linux 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 et 4.4.260.
Le problème était dû à un bug dans la fonctioniscsi_host_get_param() depuis le module libiscsi. Ce bug a été introduit en 2006. La vulnérabilité pourrait être exploitée par un utilisateur non privilégié envoyant des messages Netlink. La faille de sécurité ne peut être exploitée que localement, ce qui signifie que l’attaquant doit accéder aux appareils vulnérables.
En outre, deux autres vulnérabilités moins dangereuses ont été trouvées dans le sous-système iSCSI. Ils auraient pu divulguer des données du noyau, mais ils ont déjà été corrigés.