Linux-sårbarhed fra 2009 er nu blevet fixet

En rettighedseskalerings-sårbarhed i Linux-kernen er blevet patched.

For nyligt blev en sårbarhed, der muliggør rettighedseskalering i Linux-kernen, opdaget. Sårbarheden blev introduceret i kernel-koden i 2009.

The Register, som har spottet historien, fortæller, at sikkerhedsmand fra Positive Technologies Alexander Popov opdagede fejlen, da han testede systemkald via syzkaller fuzzer i open source-operativsystemet.

I den forbindelse stødte han på en race condition i n_hdlc-driveren, som i sidste ende har kunnet udnyttes til rettigheds-eskalering på en berørt udgave af styresystemet.
Sårbarheden er med en CVSS v3-score på 7,8 vurderet som værende farlig, og den har påvirket store distributioner som Debian, Ubuntu, Suse, Fedora og RHEL 6/7.

Brugere opfordres til at installere de seneste sikkerhedsopdateringer eller til at blokere for modulet. Det sidste er der en vejledning til her.

»Sårbarheden er gammel, så den er udbredt på Linux-arbejdsstationer og servere,« bemærker Alexander Popov ifølge The Register og tilføjer:

»For automatisk at indlæse det sårbare modul så behøver en angriber bare at have uprivilegerede brugerrettigheder. Derudover så forudsætter sårbarhedsudnyttelsen (eng. exploit) ikke nogen særlig hardware.«

Det sidste er formentlig sagt i relation til, at der er tale om en driver-relateret sårbarhed, hvor det altså ikke er en forudsætning for, at sårbarheden kan udnyttes, at den pågældende hardware er installeret, som driveren er skrevet til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

Partnernyheder

Welcome to a seminar on tools that help you become GDPR compliant!

Getting GDPR compliant by May 2018 implies a lot of activities covering the legal aspects, internal business processes, data management, and security technology.
28. feb 2017

Maja Rosendahl Larsen ansat hos Affecto

24. jan 2017

Introduction to Jedox – Affecto Seminar, Copenhagen

12. jan 2017