一、漏洞详情

Netfilter是Linux内核中的一个数据包处理模块，它可以提供数据包的过滤、转发、地址转换NAT功能。

近日，监测到 Linux kernel权限提升漏洞（CVE-2024-1086）的PoC/EXP在互联网上公开。Linux内核版本v5.14 - v6.6的netfilter子系统nf_tables组件中存在释放后使用漏洞，由于在nft_verdict_init（）函数中，允许正值作为hook判决中的丢弃错误，因此当NF_DROP发出类似于NF_ACCEPT的丢弃错误时，nf_hook_slow（）函数可能会导致双重释放漏洞，本地低权限威胁者可利用该漏洞将权限提升为root。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

3.15 ≤ linux kernel < 6.1.76

6.2 ≤ linux kernel < 6.6.15

6.7 ≤ linux kernel < 6.7.3

linux kernel = 6.8-rc1

三、修复建议

（1）升级Linux内核版本修复漏洞。

（2）若暂时无法进行更新且业务不需要，可以通过阻止加载受影响的 netfilter (nf_tables) 内核模块来缓解。

（3）如果无法禁用该模块，可在非容器化部署中，对用户命名空间进行限制。

四、参考链接

官方已发布了漏洞修复方案，请及时关注更新：https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f342de4e2f33e0e39165d8639387aa6c19dff660

Ubuntu修复方案：https://ubuntu.com/security/CVE-2024-1086

Centos修复方案：https://lists.centos.org/pipermail/centos-announce/2024-March/099235.html

RedHat修复方案：https://access.redhat.com/security/cve/cve-2024-1086

Debian修复方案：https://security-tracker.debian.org/tracker/CVE-2024-1086

统信修复方案：https://src.uniontech.com/#/security_advisory_detail?utsa_id=UTSA-2024-000633

麒麟修复方案：https://kylinos.cn/support/loophole/patch/5561.html