Linux内核中的一个安全漏洞可能允许黑客控制在用户机器上的操作系统打补丁了开源社区和Linux供应商。
上个月被发现的缺陷,保罗•Starzetz研究员iSEC安全研究非营利组织在波兰,在Linux内核内存管理代码。周三的缺陷,公开宣布,可能允许攻击者进入系统作为一个本地用户,然后获得根,或管理员,在目标系统上的特权,根据iSEC。
上周五在一封电子邮件中,Starzetz写道,错误影响到所有从2.4系列内核2.4.24,所有2.2内核2.2.25和2.6内核系列包括2.6.2。唯一的内核不脆弱,他说,2.4.25 2.6.3。
为2.2系列内核补丁正在工作,他说。所有奇怪的内核版本包括2.3和2.5也脆弱,但它不太可能,很多人使用他们,因为他们是开发内核,不释放模型。
“错误非常严重,”他写道,如果攻击者获得本地访问一个脆弱的机器。与0 0到10的规模,没有漏洞,该漏洞将10分,或“最严重的危险我们可以想象,”他说。“由于这个严重性我们决定推迟发布的开发代码,直到下周(这样的人关心他们的机器有足够的时间来更新)。”
问题只能纠正了一个脆弱的机器升级到最新的内核版本,Starzetz写道。
马克•考克斯安全响应团队领导在Linux供应商Red Hat,说研究人员迅速通知iSEC Linux团队领导和供应商的问题后,他们发现,给开源社区的时间为用户创建补丁和让他们发布。
“这些发现的问题商品,负责任地报道,以正确的方式处理,”考克斯说。“这只是一种范例的这些事情应该如何工作。”
没有任何使用漏洞攻击的报告已收到,考克斯说。
补丁已经发布的主要供应商,包括Red Hat和SuSE Linux。
上个月,发现并报告了相似但iSEC无关的安全漏洞在Linux内核内存管理代码。补丁的问题也可以通过红帽,SuSE Linux和其他供应商。
SuSE的软件开发人员,克里斯·梅森说,一旦漏洞打补丁,问题是解决了。
”的事情,会发现不时在开源社区,我们修复它们,”梅森说。
这个故事,“安全漏洞在Linux内核供应商补丁”最初发表的《计算机世界》 。