Исходное сообщение
"Демонстрация степени приуменьшения опасности уязвимости в Li..." Отправлено opennews, 02-Май-09 11:58
В начале апреля в Linux ядре 2.6.28 без особой огласки была исправлена уязвимость в SCTP подсистеме, которая позднее была квалифицирована в отчетах безопасности Ubuntu (http://www.ubuntu.com/usn/usn-751-1) и RedHat (http://rhn.redhat.com/errata/RHSA-2009-0331.html) как потенциальная возможность удаленного совершения DoS атаки. Один из экспертов в области безопасности, возмущенный манерой сводить все ошибки, связанные с выходом за границы выделенной области памяти, к тривиальным DoS уязвимостям, недолго думая написал (http://kernelbof.blogspot.com/2009/04/kernel-memory-corrupti...) работающий эксплоит для удаленного выполнения кода с привилегиями суперпользователя. По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра. Пользователи должны производить обновления даже при нахождении незначительных уязвимостей в ядре, так как вероятно серьезность их сильно приуменьшена. URL: http://kernelbof.blogspot.com/2009/04/kernel-memory-corrupti... Новость: https://www.opennet.ru/opennews/art.shtml?num=21561