use-after-free漏洞發現之旅use-after-free漏洞發現之旅

檢測Linux內核代碼中動態內存錯誤的動態內存錯誤檢測工具(KASAN)剛剛得到了另外一個成果，它發現了一個從早期Linux 2.6內核開始就存在的use-after-free漏洞。

動態內存錯誤檢測工具(KASAN)已經被證實在發現各類編碼錯誤方面很是有價值，但願在實際應用以前可以發現這些錯誤。內核地址錯誤檢查程序在CVE-2019-8912發現中負責另外一個挑戰。

在網絡子系統的sockfs代碼中發現了一個use-after-free問題，它可能致使執行任意代碼。

華爲的一名工程師在上週報告了這個問題，並在不久後就修復了Linux Git。截至今天的Linux 4.20.11內核版本，中，它彷佛尚未附帶這個補丁，但應該很快就會出如今各類穩定/長期分支中。
當前的描述

在Linux內核中經過4.20.11 af_alg_release()加密/ af_alg。 c沒有設置一個NULL值在必定結構成員,致使sockfs_setattr use-after-free。

視圖分析描述

引用報告、解決方案和工具

經過選擇這些連接,您將離開NIST多久。 咱們提供了這些連接到其餘網站,由於 他們可能感興趣的你的信息。 沒有推斷應該畫在其餘網站的帳戶 被引用,從這個頁面。 可能會有其餘網站更適合您的目的。 NIST不必定支持觀點,或贊成在這些網站上呈現的事實。 此外, NIST的不承認任何商業產品可能在這些網站上提到的。