The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от opennews (??), 20-Сен-18, 10:34 
В подсистеме vmacache ядра Linux обнаружена (https://www.openwall.com/lists/oss-security/2018/09/18/4) уязвимость (CVE-2018-17182 (https://security-tracker.debian.org/tracker/CVE-2018-17182)), которая потенциально может быть использована для создания эксплоита для повышения привилегий локального пользователя в системе. Уязвимость вызвана отсутствием проверки переполнения 32-разрядного номера последовательности, что можно использовать для обращения к уже освобождённому блоку памяти (use-after-free). Проблема присуствует в ядрах с 3.16 по 4.18.8. Исправление пока доступно в виде патча (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...). Обновления пакетов для дистрибутивов ещё не сформированы (Debian (https://security-tracker.debian.org/tracker/CVE-2018-17182), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/CVE-2018-1...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-17182), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-17182), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F28&type=s...)).

Также можно отметить оперативное выявление (https://www.openwall.com/lists/oss-security/2018/09/18/1) в ядре Linux уязвимости (CVE-2018-14641 (https://security-tracker.debian.org/tracker/CVE-2018-14641)) в коде для обработки фрагментированных IPv4 пакетов. Уязвимость позволяет удалённо вызвать крах ядра при обработке специально оформленных фрагментированных пакетов. Проблема не вышла за пределы цикла разработки ядра 4.19 и проявляется только в экспериментальных выпусках с  4.19-rc1 по 4.19-rc3. Кроме того, для инициирования удалённого отказа в обслуживании на целевой системе должны применяться достаточно редко используемые настройки, не выставляемые по умолчанию.


URL: https://www.openwall.com/lists/oss-security/2018/09/18/4
Новость: https://www.opennet.ru/opennews/art.shtml?num=49305

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +13 +/
Сообщение от Вадик (??), 20-Сен-18, 10:40 
В целом меня радует тенденция нахождения уязвимостей. Лучше пусть находят, чем не находят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  –4 +/
Сообщение от Виталик (??), 20-Сен-18, 12:59 
В ядре 4.19 создали уязвимость. Пусть лучше создают чем не создают?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +2 +/
Сообщение от Вадик (??), 20-Сен-18, 15:44 
> В ядре 4.19 создали уязвимость. Пусть лучше создают чем не создают?

Все хорошо только у того, кто ничего не делает. Пусть создают.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

37. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Аноним (37), 21-Сен-18, 09:02 
Учись читать прямо, а не наискосок "Проблема присутствует в ядрах с 3.16 по 4.18.8".
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

42. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от pavlin367x (?), 22-Сен-18, 22:51 
Учись думать, а не читать, то что пишут на заборах.  
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

44. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Аноним (-), 27-Сен-18, 12:45 
>  В ядре 4.19 создали уязвимость. Пусть лучше создают чем не создают?

Тут показателен пожалуй не тот факт что создали, а тот факт что оно пределы кандидатов в релиз не успело покинуть - чертовски хорошая работа, что ни говори. А так было бы круто, конечно, найти программистов которые вообще совсем никогда не ошибаются. Но пока с этим напряженка.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

41. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Адекватemail (ok), 22-Сен-18, 17:50 
Хм, а сколько еще не найденых уязвимостей, которыми кто в теме пользуются прямо сейчас :))
просто представьте, что прямо сейчас на вашем любимом линукс сервере, обновленным до самых последних обновлений может хозяйничать китайский хакер с правами рута, и вы никак не сможете выявить, потому что у него рут и он способен полностью скрыть свое присутствие в системе. Но об этой уязвимости расскажут лет через 20, выйдет новость с заголовком "в линукс нашли уязвимосто, которая вот уже 20 лет присутствует у всех без исключения пользователей линукс."
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Аноним (-), 20-Сен-18, 10:57 
Кто-то, наконец, настроил fuzzing тестирование
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  –11 +/
Сообщение от Michael Shigorinemail (ok), 20-Сен-18, 18:15 
> Кто-то, наконец, настроил fuzzing тестирование

Кто,то,пишет,вообще,не,зная,зачем,и,главное,почему..

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

24. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +3 +/
Сообщение от Дегенератор (?), 20-Сен-18, 18:33 
По столу он пишет, чтобы подгорало у учителей... Успешно пишет...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +6 +/
Сообщение от Qwerty (??), 20-Сен-18, 19:12 
Ого, вот это позор, запятые-то, как ни странно, стоят, не смотря ни на что, где надо.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Дегенератор (?), 20-Сен-18, 20:27 
Шигорин сделал досадную ошибку - он не поставил в конце знак вопроса. Это означает, что в слове "почему" ошибка. Либо наоборот...
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Аноним (30), 20-Сен-18, 21:43 
Перестраховался
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Дегенератор (?), 20-Сен-18, 22:04 
Твое предложение отличается от его (слова?) наличием пробелов и отсутствием "..".
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +1 +/
Сообщение от Аноним (-), 21-Сен-18, 03:00 
О, мои глаза! Это так непривычно читать!
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

39. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +2 +/
Сообщение от Annoynymous (ok), 22-Сен-18, 12:50 
Мне моя девушка как-то сказала: «странно, ты в соцсетях пишешь со всеми знаками препинания и без ошибок». И тут я понял, что надо жениться.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

43. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Аноним (-), 27-Сен-18, 12:09 
> Кто-то, наконец, настроил fuzzing тестирование

Да, для Linux кто-то настроил тестирование, всевозможный анализ кода и все такое. И, между прочим, ядро Linux хорошо обложено всем этим. По сравнению с другими проектами подобного толка - можно ожидать куда более приличное качество кода в результате.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

32. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +1 +/
Сообщение от Zoe Quinn (?), 20-Сен-18, 22:25 
Сначала нужно те привилегии проверить, особенно таким хамам как Линус. Но если же привилегии можно повысить и дискриминированным группам лиц на привилигированных привилегированных серверах правительства - ничего плохого не вижу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +1 +/
Сообщение от Аноним (33), 20-Сен-18, 23:02 
Дискриминированные группы лиц, это которые сочиняют Code of Conduct?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Zoe Quinn (?), 20-Сен-18, 23:10 
А Вы что-то имеете против?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

40. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +2 +/
Сообщение от Annoynymous (ok), 22-Сен-18, 12:52 
Ну ещё бы. Они же не просто так дискриминированы, а за дело.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Уязвимость в ядре Linux, потенциально позволяющая поднять пр..."  +/
Сообщение от Анонимemail (38), 21-Сен-18, 11:23 
Т.е. можно ждать в андроиде новые получалки рута?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor