漏洞背景

netfilter是Linux内核中的一个子系统，允许实现各种网络相关操作，如数据包过滤、网络地址转换(NAT)和端口转换。而nf_tables是netfilter的一部分，用于定义和管理防火墙规则。

漏洞描述

漏洞成因是在nft_verdict_init()函数的错误处理导致nf_hook_slow()函数在NF_DROP的分支的时候以NF_ACCEPT返回，进而在NF_HOOK()函数产生释放后重用漏洞。该漏洞可以被本地攻击者利用，从普通用户提升到root用户权限。

漏洞编号

CVE-2024-1086

影响范围

3.15 <= Linux Kernel < 6.1.76

6.2 <= Linux Kernel < 6.6.15

6.7 <= Linux Kernel < 6.7.3

Linux Kernel = 6.8-rc1

请注意，不包括以下分支修补版本：v5.10.209、v5.15.149、v6.1.76、v6.6.15

漏洞危害

高危

安全建议

1、升级Linux内核版本修复漏洞；

2、若相关用户暂时无法进行更新，可以通过阻止加载受影响的netfilter(nf_tables)内核模块可以缓解此漏洞;

3、如果无法禁用该内核模块，在系统上没有运行任何容器的情况下，可以通过禁用用户命名空间来缓解漏洞。