Уязвимость вызвана ошибкой вычисления размера массива flow-›rule-›action.entries в функции nft_fwd_dup_netdev_offload (определена в файле net/netfilter/nf_dup_netdev.c), которая может привести к записи контролируемых атакующим данных в область памяти за границей выделенного буфера. Ошибка проявляется при настройке правил «dup» и «fwd» в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload). Так как переполнение возникает на этапе до создания правила пакетного фильтра и проверки поддержки offload, уязвимость также применима и для сетевых устройств, не поддерживающих аппаратное ускорение, таких как loopback-интерфейс.
Отмечается, что проблема достаточно проста в эксплуатации, так как выходящие за пределы буфера значения могут перезаписать указатель на структуру net_device, а данные о перезаписанном значении возвращаются в пространство пользователя, что позволяет узнать необходимые для совершения атаки адреса в памяти. Для эксплуатации уязвимости требуется создание определённых правил в nftables, что возможно только при наличии привилегий CAP_NET_ADMIN, которые могут быть получены непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces). Уязвимость также может быть использована для атак на системы контейнерной изоляции.
Источник: http://www.opennet.ru/opennews/art.shtml?num=56742