io_uring loop_rw_iter type confusion / incorrect free (CVE-2021-41073)¶
Aynı bug/CVE: bkz. canonical io_uring UAF (CVE-2021-41073).
loop_rw_iter()bir kernelio_bufferpointer'ını koşulsuz ilerletir →kmalloc-32'de kontrollü free → use-after-free LPE.
Mechanism¶
Bu, canonical not'taki teknikle aynı kök nedendir: provided-buffers / IOSQE_BUFFER_SELECT ile req->rw.addr bir kernel io_buffer pointer'ı olur ve loop_rw_iter() setup/advance simetrisini kıracak şekilde onu ilerletir. Tam açıklama: io_uring UAF (CVE-2021-41073).
Walkthrough¶
Tam walkthrough canonical not'ta: io_uring UAF (CVE-2021-41073).