Linux修补存在9年已被开采的COW漏洞

嵌入式系统 时间:2016-10-26来源:ithome

  资安研究人员Phil Oester上周揭露,Linux核心(Linux Kernel)中的写时拷贝(copy-on-write,COW)功能含有一权限扩张漏洞,可允许骇客掌控使用者系统,且已遭开采,令人讶异的是,该漏洞已存在9年之久。

  此一编号为CVE-2016-5195的漏洞又被称为Dirty Cow,它允许拥有本地端帐号的骇客取得唯读记忆体的写入权限,进而扩张自己的权限,且早在2007年释出的2.6.22版本中便已存在,直到今年的10月18日才被修补。

  Oester释出了该漏洞的概念性验证程式,亦已发现针对漏洞的攻击程式,但并不确定是否曾发生攻击行动。在Linux Kernel团队修补了此一漏洞后,包含 Red Hat、Ubuntu与Debian等各种Linux版本也都已经或正在着手修补。

  即使Dirty Cow被视为是个重要漏洞,但由于它必须自本地端展开攻击,使其危险性低于其他远端攻击漏洞。

  自诩为自由软体骇客的Google开发人员Kees Cook指出,不论是过去的研究或是他的研究都显示Linux安全漏洞的平均寿命是5年,意谓着漏洞出现后,一直要到5年后才会被开发人员发现。Cook统计了自2011年以来被揭露的Linux漏洞,发现当中的重大漏洞(Critical)平均寿命是3.3年,重要漏洞(High)的平均寿命是6.4年,中度(Medium)漏洞的平均寿命为5.2年,而低风险(Low)漏洞的平均寿命为5年。

关键词: Linux

加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW

或用微信扫描左侧二维码

相关文章


用户评论

请文明上网,做现代文明人
验证码:
查看电脑版