Linux カーネルの iSCSI サブシステムのコードに、特権のないユーザーによるアクセスを許可する脆弱性が見つかりました。
この脆弱性は、Linuxカーネルアップデート5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260、および4.4.260ですでに修正されていると報告されています。
問題の原因は関数のバグでしたlibiscsi モジュールの iscsi_host_get_param()。このバグは 2006 年に導入されました。この脆弱性は、特権のないユーザーが Netlink メッセージを送信することによって悪用される可能性があります。このセキュリティ ホールはローカルでのみ悪用できるため、攻撃者は脆弱なデバイスにアクセスする必要があります。
さらに、iSCSIサブシステムでさらに2つの危険性の低い脆弱性が見つかりました。カーネルからデータが漏洩した可能性がありますが、すでに修正されています。