Datagram Sockets,可靠数据报套接字)的零拷贝发送路径。rds_message_zcopy_from_user()在逐页把用户态内存固定到内核空间后,如果后续页面触发错误,错误处理路径会先释放已固定页面;但后续 RDS 消息清理又会再次释放一次,于是形成 double-free。单看引用计数错误,这类问题通常不容易直接变成稳定提权。不过 PinTheft 把 io_uring 拉进
当前文章:http://k4pw.nuocenqiu.cn/vt9/gn3ds.html
发布时间:00:25:43
