Linux-sårbarhed fra 2009 er nu blevet fixet

En rettighedseskalerings-sårbarhed i Linux-kernen er blevet patched.

For nyligt blev en sårbarhed, der muliggør rettighedseskalering i Linux-kernen, opdaget. Sårbarheden blev introduceret i kernel-koden i 2009.

The Register, som har spottet historien, fortæller, at sikkerhedsmand fra Positive Technologies Alexander Popov opdagede fejlen, da han testede systemkald via syzkaller fuzzer i open source-operativsystemet.

I den forbindelse stødte han på en race condition i n_hdlc-driveren, som i sidste ende har kunnet udnyttes til rettigheds-eskalering på en berørt udgave af styresystemet.
Sårbarheden er med en CVSS v3-score på 7,8 vurderet som værende farlig, og den har påvirket store distributioner som Debian, Ubuntu, Suse, Fedora og RHEL 6/7.

Brugere opfordres til at installere de seneste sikkerhedsopdateringer eller til at blokere for modulet. Det sidste er der en vejledning til her.

»Sårbarheden er gammel, så den er udbredt på Linux-arbejdsstationer og servere,« bemærker Alexander Popov ifølge The Register og tilføjer:

»For automatisk at indlæse det sårbare modul så behøver en angriber bare at have uprivilegerede brugerrettigheder. Derudover så forudsætter sårbarhedsudnyttelsen (eng. exploit) ikke nogen særlig hardware.«

Det sidste er formentlig sagt i relation til, at der er tale om en driver-relateret sårbarhed, hvor det altså ikke er en forudsætning for, at sårbarheden kan udnyttes, at den pågældende hardware er installeret, som driveren er skrevet til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017