Linux-sårbarhed fra 2009 er nu blevet fixet

En rettighedseskalerings-sårbarhed i Linux-kernen er blevet patched.

For nyligt blev en sårbarhed, der muliggør rettighedseskalering i Linux-kernen, opdaget. Sårbarheden blev introduceret i kernel-koden i 2009.

The Register, som har spottet historien, fortæller, at sikkerhedsmand fra Positive Technologies Alexander Popov opdagede fejlen, da han testede systemkald via syzkaller fuzzer i open source-operativsystemet.

I den forbindelse stødte han på en race condition i n_hdlc-driveren, som i sidste ende har kunnet udnyttes til rettigheds-eskalering på en berørt udgave af styresystemet.
Sårbarheden er med en CVSS v3-score på 7,8 vurderet som værende farlig, og den har påvirket store distributioner som Debian, Ubuntu, Suse, Fedora og RHEL 6/7.

Brugere opfordres til at installere de seneste sikkerhedsopdateringer eller til at blokere for modulet. Det sidste er der en vejledning til her.

»Sårbarheden er gammel, så den er udbredt på Linux-arbejdsstationer og servere,« bemærker Alexander Popov ifølge The Register og tilføjer:

»For automatisk at indlæse det sårbare modul så behøver en angriber bare at have uprivilegerede brugerrettigheder. Derudover så forudsætter sårbarhedsudnyttelsen (eng. exploit) ikke nogen særlig hardware.«

Det sidste er formentlig sagt i relation til, at der er tale om en driver-relateret sårbarhed, hvor det altså ikke er en forudsætning for, at sårbarheden kan udnyttes, at den pågældende hardware er installeret, som driveren er skrevet til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017