ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → Linux内核漏洞 CVE-2018-1718

Linux内核漏洞 CVE-2018-1718

时间:2018-09-30 00:00:00人气:作者:本站作者我要评论

Linux内核漏洞 CVE-2018-1718

Google Project Zero披露了高严重性Linux内核的详细信息,这是一个跟随CVE-2018-1718的免费使用后漏洞。

该漏洞是CVE-2018-17182跟踪的免费使用,由Google Project Zero的Jann Horn发现。该漏洞是在2014年8月随Linux内核版本3.16发布的。

攻击者可以利用该问题触发DoS条件,或者在易受攻击的系统上以root权限执行任意代码。

专家在9月12日报告了Linux内核开发团队的缺陷,并在两天后修复了它。

Horn还发布了 针对该漏洞的 PoC漏洞,研究人员解释说,利用该漏洞的过程非常耗时,因为触发漏洞的过程需要运行足够长的时间才能导致参考计数器溢出。

这篇博文描述了一种利用自内核版本3.16以来存在的Linux内核错误(CVE-2018-17182)的方法。读取Project Zero发布的安全公告。

该问题的修复方法是上游稳定版本4.18.9,4.14.71,4.9.128,4.4.157和3.16.58。

研究人员警告威胁演员可能已经开发漏洞利用漏洞,另一个令人担忧的问题是Linux发行版的开发人员不会频繁发布内核更新,这种情况会让用户受到攻击。

但是,Linux发行版通常不会非常频繁地发布分发内核更新。例如,Debian stable 基于4.9发布内核,但截至2018-09-26,该内核 最后更新时间为2018-08-21。同样,Ubuntu 16.04发布的内核 最后更新时间为2018-08-27。Horn解释道。

Android每月只会发布一次安全更新。因此,当上游稳定内核中提供安全关键修复程序时,用户实际可以使用修复程序仍需要数周时间 - 特别是如果安全影响未公开发布。

此漏洞证明了安全内核配置的重要性,某些特定设置(如kernel.dmesg_restrict sysctl)提供了启用时的合理权衡。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网