Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10163
  комментариев: 1849

В ядре Linux обнаружена уязвимость, позволяющая поднять свои привилегии в системе


В ядре Linux обнаружена критическая уязвимость (CVE-2014-0196), позволяющая локальному пользователю получить привилегии пользователя root. Проблему усугубляет публикация прототипа эксплоита в открытом доступе.

Уязвимость присутствует во всех выпусках ядра, начиная с 2.6.31-rc3, включая 3.14.3 и 3.15-rc5. Исправление пока доступно в виде патча. Обновления пакетов с устранением уязвимости уже сформированы для Ubuntu, Fedora и ALT Linux. Для Debian, Gentoo, Red Hat Entreprise Linux, CentOS, openSUSE и SUSE обновление ядра пока недоступно и находится на стадии подготовки.

Проблема вызвана ошибкой в функции n_tty_write (drivers/tty/n_tty.c), в которой некорректно обрабатывалась ситуация доступа к виртуальному терминалу при использовании флагов "LECHO & !OPOST", что позволяло локальному пользователю инициировать повреждение областей памяти ядра. Используя условия гонки уязвимость позволяет добиться выполнения привилегированных команд во время выполнения из нескольких потоков одновременных операций чтения и записи длинных строк через псевдотерминал. Успешность эксплуатации является делом случая, при применении эксплоита в 3 из 4 запусков наблюдается крах ядра. Для успешной эксплуатации требуется многоядерная система. Кроме того, представленный прототип эксплоита работает только с ядрами 3.14.


Источник: opennet.ru

  13 мая 2014 380
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 5 и 13*:            


Хостеры (2235)
HostDB (34)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 28 и 0*:


Яндекс цитирования
сообщить о неточности