Skip to content

io_uring loop_rw_iter type confusion / incorrect free (CVE-2021-41073)

Aynı bug/CVE: bkz. canonical io_uring UAF (CVE-2021-41073). loop_rw_iter() bir kernel io_buffer pointer'ını koşulsuz ilerletir → kmalloc-32'de kontrollü free → use-after-free LPE.

Mechanism

Bu, canonical not'taki teknikle aynı kök nedendir: provided-buffers / IOSQE_BUFFER_SELECT ile req->rw.addr bir kernel io_buffer pointer'ı olur ve loop_rw_iter() setup/advance simetrisini kıracak şekilde onu ilerletir. Tam açıklama: io_uring UAF (CVE-2021-41073).

Walkthrough

Tam walkthrough canonical not'ta: io_uring UAF (CVE-2021-41073).

References