В ядре Linux найдена серьёзная уязвимость CVE-2022-0847, названная Dirty Pipe. Уязвимость позволяет перезаписать содержимое любого файла от имени непривилегированного пользователя.
Если продолжить мысль, то злоумышленник, получив доступ к операционной системе, может создавать учётные записи, внедрять вредоносы, модифицировать скрипты, тем самым повышая свой уровень в системе. Да, собственно, имея возможность перезаписывать любые файлы, даже доступ sudo не потребуется.
Уязвимость выявлена исследователем безопасности Максом Келлерманом (Max Kellerman) из немецкой хостинговой компании Ionos. Келлерман уведомил ней разработчиков ядра Linux 22 февраля 2022 г. и предложил патч. Исправления были приняты три дня спустя.
Уязвимость устранена в Linux версий 5.6.11, 5.15.25 и 5.10.102. Корпорация Google, ведущая разработку Android, также устранила уязвимость в ядре своей ОС.
