НОВОСТИ В ядре Linux исправлена критическая уязвимость

ourslowman

Постоялец
МОДЕРАТОР
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
PREMIUM USER
ЮБИЛЕЙНАЯ ЛЕНТА

ourslowman

Постоялец
МОДЕРАТОР
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
PREMIUM USER
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
30 Июл 2018
Сообщения
803
Реакции
423
Репутация
49
ГАРАНТ
2

Исследователь безопасности Янн Хорн (Jann Horn) из Google Project Zero

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в ядре Linux опасную уязвимость. Проблема присутствует в ядре с августа 2014 года, когда была выпущена версия 3.16.

Обнаруженная Хорном уязвимость использования памяти после высвобождения (CVE-2018-17182) позволяет вызывать отказ в обслуживании и выполнять произвольный код с привилегиями суперпользователя.

Исследователь

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

PoC-эксплоит, однако отметил, что процесс эксплуатации уязвимости требует очень много времени. Запускающий уязвимость процесс должен продолжаться достаточно долго, чтобы вызвать переполнение счетчика ссылок.

Хорн сообщил о проблеме разработчикам ядра Linux 12 сентября текущего года, и спустя два дня она была исправлена. Уязвимость устранена в версиях ядра 4.18.9, 4.14.71, 4.9.128, 4.4.157 и 3.16.58. Тем не менее, по словам исследователя, злоумышленники могли уже разработать свой эксплоит. Помимо этого, проблема усугубляется задержкой выпуска патчей производителями дистрибутивов.

«Стабильный релиз Debian базируется на версии ядра 4.9, но по состоянию на 26.09.2018 в последний раз ядро обновлялось 21.08.2018. То же самое касается Ubuntu. Релиз 16.04 поставляется с ядром, которое в последний раз обновлялось 27.08.2018», - отметил исследователь.
 
Сверху