Výzkumníci z Qualys objevili novou zranitelnost spočívající v lokální eskalaci práv. Dostala jméno Sequoia a označení CVE-2021–33909 a jejím principem je to, že útočník bez patřičných práv je schopen využít jistou chybu, aby získal roota, a to ve většině linuxových distribucí.
Problém se nachází v konverzi typu size_t-to-int
ve vrstvě souborového systému, přičemž tuto implementaci a její výchozí nastavení používá pro správu uživatelských dat většina velkých linuxových distribucí zhruba od roku 2014. Výzkumníci z Qualsys také připravili ukázkový exploit, který funguje k získání práv roota na Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debianu 11 i Fedoře 34 Workstation. A ve svém důsledku tedy i na spoustě odvozených distribucí, přičemž pravděpodobně bude exploit fungovat i na řadě jiných systémů, které nejsou na Debianu, Ubuntu či Fedoře postaveny.
Podrobnosti u Debianu, Ubuntu, Red Hatu či SUSE. Například u Debianu lze vyčíst, že již vydal jádra 4.9.272–2 (Stretch), 4.19.194–3 (Buster) a 5.10.46–2 (Sid), která obsahují opravu.
Sequoia: A Local Privilege Escalation Vulnerability in Linux's Filesystem Layer (CVE-2021–33909) from Qualys, Inc. on Vimeo.