Лето началось жарко.
Совсем недавно мы исправили CVE-2014-0196, позволяющую получить локальный root-доступ, и на подходе еще одна аналогичная локальная уязвимость: CVE-2014-3153. И хотя работающего эксплойта в открытом доступе пока нет, затронуты все текущие версии ядра: от 2.6.32 до 3.14.5. Примечание для гентушников: в отличие от CVE-2014-0196, затронуты и усиленные ядра.
Вот перевод оригинального информационного бюллетеня из списка рассылки:
Маленький тортик ( Я понимаю, что это какой-то сильный исследователь безопасности скрываюсь под ником персонаж из My Little Pony – примечание переводчика ) обнаружил проблему в подсистеме фьютекса, которая позволяет локальному пользователю получить контроль над кольцом 0 с помощью системного вызова фьютекса.Исходный патч , который устраняет уязвимость.Непривилегированный пользователь может воспользоваться этой уязвимостью, чтобы вызвать сбой ядра (что приведет к отказу в обслуживании (DoS)) или повышению привилегий.
Обновления доступны для всех стабильных веток ядра.
Как пишут, уязвимость особенно «хорошая», поскольку подсистема фьютексов доступна во всевозможных «песочницах» в Linux, которые используют, например, Chromium, Tor и OpenSSH. Коллеги, сообщите, не ждите появления эксплойта.
Исправленные версии: sys-kernel/gentoo-sources-{3.10.41,3.12.21}-r1, Hardened-sources-3.14.5-r2, Hardened-sources-3.2.59-r5 В исправлено хриплое дыхание в Debian .
Исправленная версия: 3.2.57-3+deb7u2. Исправление для других версий Debian будет доступно позже.
Для проверенной версии 3.13.0-29.53. Арч Линукс замедляет .
Теги: #linux #kernel #эскалация привилегий #CVE-2014-3153 #эскалация привилегий #kernel #futex #информационная безопасность #открытый исходный код
-
Одноклассники Наконец Сменили Логотип
19 Oct, 24 -
Firefox Становится Браузером По Умолчанию?
19 Oct, 24 -
Ремонт Двигателя Wedo 2.0
19 Oct, 24
