Ubuntu修复内核漏洞

阅读量135070

|

发布时间 : 2016-04-07 11:21:25

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:https://threatpost.com/ubuntu-patches-kernel-vulnerabilities/117229/

译文仅供参考,具体内容表达以及含义原文为准。

https://p2.ssl.qhimg.com/t01497bc8b8e8958082.jpg

在之前Ubuntu对于Linux内核的实现中存在几个漏洞,其中包括一个use-after-free漏洞和一个时序边信道漏洞,今天,Ubuntu发布了相应的补丁。

在周三上午Ubuntu发布的一个insure中,它督促用户去打补丁,如果用户使用的是Ubuntu 14.04LTS版本或者其他衍生版本。

之前的 use-after-free漏洞位于内核中的CXGB3驱动,攻击者可以利用它进行拒绝服务攻击导致系统崩溃,之后可能导致任意代码执行。这个漏洞的发现者是Venkatesh Pottem,这也是这次更新的两个中等安全问题补丁中的其中一个。

第二个漏洞,是由David Herrmann发现的。因为内核错误地解释文件描述符后发送到unix域套接字,他简单解释了这个漏洞的触发过程。和第一个问题一样,攻击者可以利用漏洞进行拒绝服务攻击。

第三个拒绝服务问题源于这样一个事实:Linux内核没能正确执行限制数据分配给缓冲区,这样就可能会耗尽系统资源从而导致拒绝服务。

时序边信道漏洞存在于Linux的扩展验证模块( Extended Verification Module ,简称为EVM ),如果它被利用,可能会影响系统的完整性。EVM在Linux内核中主要用于防止篡改,并且在允许操作文件之前对文件的扩展属性进行验证。要利用这个漏洞,攻击者必须准确分析出执行加密算法使用了多少时间,然后卡好时间进行攻击。

其他一些问题也在今天对Ubuntu 14.04 LTS发布的补丁中被修复。

另外,Ubuntu官方也鼓励那些运行Ubuntu 12.04 LTS版本的用户也进行更新用于修复上述问题。运行Ubuntu 15.10的用户之后也会收到对其他一些问题的修复更新,包括在树莓派2的Linux内核中发现的问题。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
暗羽喵
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66