漏洞背景

netfilter 是 Linux 内核中的一个子系统，允许实现各种网络相关操作，如数据包过滤、网络地址转换 (NAT) 和端口转换。而 nf_tables 是 netfilter 的一部分，用于定义和管理防火墙规则。

漏洞描述

漏洞成因是在 nft_verdict_init() 函数的错误处理导致 nf_hook_slow() 函数在 NF_DROP 的分支的时候以 NF_ACCEPT 返回，进而在 NF_HOOK() 函数产生释放后重用漏洞。该漏洞可以被本地攻击者利用，从普通用户提升到 root 用户权限。

漏洞编号

CVE-2024-1086

影响范围

    3.15 <= Linux Kernel < 6.1.76

6.2 <= Linux Kernel < 6.6.15

6.7 <= Linux Kernel < 6.7.3

Linux Kernel = 6.8-rc1

请注意，不包括以下分支修补版本：v5.10.209、v5.15.149、v6.1.76、v6.6.15

漏洞危害

高危

安全建议

1、升级Linux内核版本修复漏洞；

2、若相关用户暂时无法进行更新，可以通过阻止加载受影响的 netfilter(nf_tables) 内核模块可以缓解此漏洞 ;

3、如果无法禁用该内核模块，在系统上没有运行任何容器的情况下，可以通过禁用用户命名空间来缓解漏洞。