澳门新葡亰平台官网linux的安全漏洞问题可能会让黑客获得完整的操作权限

by admin on 2020年3月27日

澳门新葡亰平台官网 1

面向所有尚处于支持状态的Ubuntu版本,Canonical今天发布了新的内核安全更新,修复了多名安全研究人员近期发现的多个漏洞。本轮安全补丁修复了Linux
Kernel中CDROM驱动的整数溢出漏洞(CVE-2018-18710),允许本地攻击者窃取敏感信息。

澳门新葡亰平台官网 2

该漏洞最早反馈于6月中旬,但出于安全考虑,直到7月9日才对外公开。选择公开的原因是 Canonical
的安全工程师认为他们不太可能能够解决此问题,因为具备物理访问权即意味着攻击者可以很直接地访问硬盘或更换密码解锁电脑。

澳门新葡亰平台官网 3

Linux用户,要小心被称为“Dirty
Sock”的安全漏洞,并将其标识为:CVE-2019-7304

该漏洞最初发现于 Ubuntu 16.04.4 LTS ,在经过测试后,发现 Ubuntu
14.04、16.10、17.04 同样会受到影响。甚至其他 Ubuntu 发行版,像是 Mate
18.04 ,也被证实在影响范围内。

包括Ubuntu 18.10(Cosmic Cuttlefish),Ubuntu 18.04 LTS(Bionic
Beaver),Ubuntu 16.04 LTS(Xenial Xerus)和Ubuntu 14.04 LTS(Trusty
Tahr),所有处于支持状态的Ubuntu版本均受到这个问题影响。

这个严重的安全漏洞是由安全研究员克里斯·莫伯利(Chris
Moberly)发现的,他上个月向Ubuntu发行商的制作者披露了这些细节。该漏洞存在于Snapd服务的REST
API中。

澳门新葡亰平台官网 4

此外本轮更新还修复了仅影响Ubuntu 18.04 LTS,Ubuntu 16.04 LTS和Ubuntu
14.04 LTS版本的数个其他漏洞,包括Linux
Kernel中MIDI驱动中的竞争条件(CVE-2018-10902),POSIX定时器实现中的整数溢出漏洞,
Infiniband实施中的免费使用漏洞(CVE-2018-14734)。

这是一个通用的Linux打包系统,负责使应用程序跨多个发行版与Linux兼容,并且不需要对可执行文件进行任何修改。不幸的是,这意味着Ubuntu不是唯一受该漏洞影响的构建。从字面上看,Linux的各种风格都存在风险。

(文/开源中国)    

此外在Linux Kernel的YUREX
USB设备驱动程序中也发现了一个漏洞(CVE-2018-16276),能够允许物理攻击者执行任意代码或者使目标系统崩溃。而CVE-2018-18445和CVE-2018-18690分别为BPF验证程序和XFS文件系统中存在的漏洞,允许本地攻击者发起拒绝服务攻击。

澳门新葡亰平台官网 5

所有Ubuntu 18.10,Ubuntu 18.04 LTS,Ubuntu 16.04 LTS和Ubuntu 14.04
LTS用户都应该立即升级系统,具体的升级操作可以访问Canonical官方提供的升级说明:。

关于这个问题Moberly表示:

文章转载自:

“在其UNIX套接字上执行访问控制时,Snapd版本2.28到2.37错误地验证并解析了远程套接字地址。本地攻击者可以使用它来访问特权套接字API并获得管理员权限。”

如果在Moberly的发现中找到了一线希望,那么问题的本质就是阻止黑客远程利用它。他们必须有物理访问机器或以某种方式欺骗用户做一些会触发程序代表黑客升级权限的事情。即便如此,利用漏洞可以用来获得对目标系统的完全访问和控制的事实意味着它不是可以忽略的东西。

好消息是,Ubuntu的制造商Canonical已经迅速采取行动,已经发布了一个解决这个漏洞的更新,其他主要Linux发行版也纷纷效仿。无论您使用什么构建,都可能已经有了修复。因此,如果您更新后已经有一段时间了,那么现在是一个很好的时机。

澳门新葡亰平台官网 6

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图