Linux-sårbarhed fra 2009 er nu blevet fixet

En rettighedseskalerings-sårbarhed i Linux-kernen er blevet patched.

For nyligt blev en sårbarhed, der muliggør rettighedseskalering i Linux-kernen, opdaget. Sårbarheden blev introduceret i kernel-koden i 2009.

The Register, som har spottet historien, fortæller, at sikkerhedsmand fra Positive Technologies Alexander Popov opdagede fejlen, da han testede systemkald via syzkaller fuzzer i open source-operativsystemet.

I den forbindelse stødte han på en race condition i n_hdlc-driveren, som i sidste ende har kunnet udnyttes til rettigheds-eskalering på en berørt udgave af styresystemet.
Sårbarheden er med en CVSS v3-score på 7,8 vurderet som værende farlig, og den har påvirket store distributioner som Debian, Ubuntu, Suse, Fedora og RHEL 6/7.

Brugere opfordres til at installere de seneste sikkerhedsopdateringer eller til at blokere for modulet. Det sidste er der en vejledning til her.

»Sårbarheden er gammel, så den er udbredt på Linux-arbejdsstationer og servere,« bemærker Alexander Popov ifølge The Register og tilføjer:

»For automatisk at indlæse det sårbare modul så behøver en angriber bare at have uprivilegerede brugerrettigheder. Derudover så forudsætter sårbarhedsudnyttelsen (eng. exploit) ikke nogen særlig hardware.«

Det sidste er formentlig sagt i relation til, at der er tale om en driver-relateret sårbarhed, hvor det altså ikke er en forudsætning for, at sårbarheden kan udnyttes, at den pågældende hardware er installeret, som driveren er skrevet til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Kommentarer (0)
Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017