ثغرة أمنية خطيرة في Linux Kernel 2.6.30 والإصدارات الأحدث

يحتوي إصدار Linux kernel 2.6.30 والإصدارات الأحدث على ثغرة أمنية خطيرة يمكن استغلالها الحصول على أذونات المستخدم المتميز على النظام المهاجم.

الثغرة الأمنية ، في تطبيق Linux للبروتوكول مآخذ مخطط بيانات موثوقة (RDS)، يؤثر على الإصدارات غير المصححة من Linux kernel ، بدءًا من 2.6.30 ، حيث تم تضمين بروتوكول RDS لأول مرة.

وفقًا لـ VSR Security ، فإن فريق البحث أن اكتشف الثقب الأمني، لا تتأثر عمليات تثبيت Linux إلا إذا كان خيار تكوين kernel CONFIG_RDS تم تمكينه ، وإذا لم تكن هناك قيود على المستخدمين غير المتميزين لتحميل عائلة حزمة الوحدة النمطية ، كما هو الحال في معظم التوزيعات.

نظرًا لأن وظائف kernel المسؤولة عن نسخ البيانات بين kernel ومساحة المستخدم فشلت في التحقق من أن العنوان الذي يوفره المستخدم موجود حاليًا في مقطع المستخدم ، يمكن للمهاجم المحلي إصدار مقبس استدعاء دالة معدة خصيصًا لكتابة قيم عشوائية إلى kernel ذاكرة. بالاعتماد على هذه الإمكانية ، من الممكن للمستخدمين غير المتميزين تصعيد امتيازاتهم إلى امتيازات الجذر.

أصدرت الشركة دليلًا على مفهوم استغلال الثغرة لإثبات خطورة الثغرة الأمنية. أولاد الأمن H لقد حاولوا الاستغلال على Ubuntu 10.04 (64 بت) ونجحوا في فتح ملف قذيفة كما جذر.

كان الترتيب لهذه المسألة مبعوث بواسطة لينوس تورفالد. توصي VSR Secutrity المستخدمين بتثبيت التحديثات التي توفرها التوزيعات أو تطبيق التصحيح الذي تم إصداره وإعادة تجميع النواة الخاصة بهم (إصدار 2.6.24.2).

مصدر: ZD- نت & متابعة المعلومات & عالم الكمبيوتر


2 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   ألفارو أورتيز قال

    تم بالفعل إصلاح هذه الثغرة الأمنية. انتشر هذا الخبر بسرعة عبر مدونات Linux وكان كل شيء مثيرًا للخوف.
    http://www.muylinux.com/2010/10/22/vulnerabilidad-critica-en-el-kernel-linux/comment-page-1#comment-36870

  2.   دروب قال

    بقدر الجدية لا حقا 😛

    "تتأثر فقط إذا تم تمكين خيار تكوين kernel CONFIG_RDS ، وإذا لم تكن هناك قيود على المستخدمين الذين لا يتمتعون بامتيازات لتحميل عائلة حزم الوحدات النمطية"

    على الرغم من أنني لا أفهم ما تقصده حقًا بهذا هاها!