CVE-2018-1121
LowSummary
procps-ng, a także procps, są podatne na ukrywanie procesów poprzez warunek wyścigu. Proces z wysokim identyfikatorem PID może wykorzystać zdarzenia inotify, aby określić, kiedy lista procesów jest skanowana, a następnie utworzyć nowy proces z niższym PID.
Risk Assessment
Atakujący może wykorzystać tę podatność do ukrywania swoich procesów, co utrudnia ich wykrycie przez administratorów systemu. Może to prowadzić do nieautoryzowanego dostępu lub działania w systemie bez wiedzy administratora.
Recommendation
Zaleca się aktualizację do najnowszej wersji procps-ng, aby usunąć tę podatność. Dodatkowo, monitorowanie procesów i analiza zdarzeń inotify mogą pomóc w wykrywaniu potencjalnych prób ukrywania procesów.
Original NVD description (English source)
procps-ng, procps is vulnerable to a process hiding through race condition. Since the kernel's proc_pid_readdir() returns PID entries in ascending numeric order, a process occupying a high PID can use inotify events to determine when the process list is being scanned, and fork/exec to obtain a lower

