`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

В ядре Linux устранены уязвимости, позволяющие локально повысить привилегии

+11
голос

В ядре Linux устранены уязвимости, позволяющие локально повысить привилегии

Эксперт по безопасности компании Positive Technologies выявил и исправил пять схожих уязвимостей в виртуальных сокетах ядра Linux. Эти бреши могут быть использованы для локального повышения привилегий. Они получили общий идентификатор CVE-2021-26708 и оценку 7,0 по шкале CVSS v3, что соответствует высокому уровню опасности.

К проблеме безопасности ядра привели ошибки типа «состояние гонки» (огрехи проектирования многопоточной системы, при которой ее работа зависит от того, в каком порядке выполняются части кода), которые были неявно внесены при добавлении поддержки нескольких транспортов для виртуальных сокетов. Эта функциональность появилась в ядре Linux версии 5.5 в ноябре 2019 г. Уязвимые драйверы (CONFIG_VSOCKETS и CONFIG_VIRTIO_VSOCKETS) поставляются как ядерные модули основными дистрибутивами GNU/Linux. Данные модули автоматически загружаются системой при создании сокета AF_VSOCK, и это действие доступно непривилегированному пользователю.

Исследователи создали прототип эксплойта, который выполняет локальное повышение привилегий на Fedora 33 Server и обходит защитные механизмы SMEP и SMAP платформы x86_64. Для устранения уязвимостей были подготовлены исправления и осуществлено ответственное разглашение информации о них. Патч уже принят в ванильное ядро Linux v5.11-rc7, а также применен в стабильных ветках, которые были подвержены CVE-2021-26708.

Замовлення хмари в декілька кліків. UCloud запустив хмарний чат бот!

+11
голос

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT