AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Linux内核存在缺陷发行陷困境

2017-08-08 1610
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

Linux内核已经修复了本地特权esclation缺陷,但是几个上游分发版本例如Red Hat,Canonical和Debian发行版尚未发布更新。管理员应计划减轻Linux服务器和工作站本身的漏洞,并监控其更新计划的发布。

内核缺陷仍存在

在Linux内核4.10.1(CVE-2017-2636)的n_hdlc驱动程序(drivers / tty / n_hdlc.c)中的竞争条件缺陷可能导致在访问n_hdlc.tbuf时n_hdlc_release()出现双重错误,这是俄罗斯的技术研究员Alexander Popov发现和报告的缺陷。本地无特权用户能够在tty设备上设置HDLC线路规则,从而利用此缺陷获得受影响系统的更多权限或导致拒绝服务条件。

该漏洞在常见漏洞评分系统(CVSS)3.0下的基本分数为7.8,不需要由任何用户交互触发,攻击复杂性被认为较低,利用这个缺陷不需要在目标系统中攻击专门的硬件或外设。在CVSS下,该漏洞被视为具有较高严重性。

该补丁已于2月28日发送到Linux内核,并且新版本的内核在3月7日已经发布了,所有版本的Linux内核(直到4.10.1)都被视为有漏洞。

该漏洞将影响Linux服务器和工作站以及虚拟机,但大多数容器不受影响。开源安全公司Black Duck Software的Patrick Carey说,由于Docker上的ioctl设置,这个问题不会在容器内执行。显然,如果你有权访问容器主机,一切只能听天由命了。

等待补丁

红帽已将此问题评为“高”严重性,并承诺在将来的更新中会修复该错误。该问题影响Red Hat Enterprise MRG 2附带的实时内核包,Red Hat Enterprise Linux 7附带的kernel-rt包以及Red Hat Enterprise Linux 5/6/7中的内核包,它不影响Red Hat Enterprise Linux 5附带的Linux内核包。

Canonical也将这个问题评为高严重性,因为所有Ubuntu版本都会受到影响,公司已经发布了针对Ubuntu Linux 12.04 LTS,14.04 LTS,Ubuntu 16.04 LTS(Xenial Xerus) 和Ubuntu 16.10(Yakket Yak)的修补程序。Ubuntu Core 15.04和Ubuntu Linux 17.04(Zesty Zapus)的更新仍在等待中。 Canonical已经更新了一些内核包,例如linux-ti-omap4包(用于12.04 LTS)和linux-gke(16.04 LTS),但不计划更新其他包,例如linux-maguro包(用于14.04 LTS)。修复仍然需要纳入一些其他软件包如对应14.04 LTS的linux-lts-vivid 和17.04的linux-rapi2。管理员应参考Canonical的完整列表以确定其内核和分发状态。

用于sparc,s / 390,powerpc,mips,ia-64,ua-32,arm,amd64的各种Debian Linux 6.0软件包,Debian wheezy 3.2.78-1,jessie 3.16.39-1中的Linux内核, .13-1是比较脆弱的。 最新版本的Debian jessie,3.16.39-1 + deb8u2和wheezy,3.2.86-1已经有固定的内核模块。

Linux管理员应该做些什么呢?

在更新的内核可用之前,Linux管理员可以通过手动防止内核加载来缓解此漏洞。Then_hdlc内核模块通常会在应用程序尝试从用户空间使用HDLC线路规则时自动加载,但可以使用系统范围的modprob规则阻止。以root身份运行


  
  
    

   
   
  1. #echo“install n_hdlc / bin / true”>> /etc/modprobe.d/disable-n_hdlc.conf 
    2.

将防止意外或有意加载模块。如果n_hdlc模块已加载,则需要重新启动系统。红帽产品安全方面认为,这是一个防止意外加载模块的可靠方法。

在内核配置中具有CONFIG_N_HDLC = m的Linux发行版都可能受到影响,因为它使用易受攻击的驱动程序。Popov在使用无监督的Linux系统调用fuzzing工具syzkaller调查可疑内核崩溃时发现了该错误。 该漏洞与以下事实有关:n_hdlc使用自制的单链表作为数据缓冲区,并使用n_hdlc.tbuf指针在发生错误后重新发送缓冲区。如果数据缓冲区由于某些原因无法发送,则地址将保存在n_hdlc.tbuf中,缓冲区是下一次调用hdlc_send_frames()时首次发送的。flux_tx_queue()和hdlc_send_frames()会将缓冲区放入tx_free_buf_list两次,导致双重错误。

该漏洞存在于广泛使用的开放源代码组件中,但社区和组织也在积极解决安全问题,广大Linux用户更要密切关注Linux内核的修复情况。





本文作者:佚名
来源:51CTO
文章标签:
Linux
安全
容器
Ubuntu
监控
Docker
关键词:
Linux内核
Linux内核缺陷
玄学酱
目录
相关文章
游客kwe6k52lwpmug
|
12天前
|
算法 Linux
深入探索Linux内核的内存管理机制
本文旨在为读者提供对Linux操作系统内核中内存管理机制的深入理解。通过探讨Linux内核如何高效地分配、回收和优化内存资源,我们揭示了这一复杂系统背后的原理及其对系统性能的影响。不同于常规的摘要,本文将直接进入主题,不包含背景信息或研究目的等标准部分,而是专注于技术细节和实际操作。
游客kwe6k52lwpmug
29 3
游客7v53mftipku2u
|
12天前
|
存储 缓存 网络协议
Linux操作系统的内核优化与性能调优####
本文深入探讨了Linux操作系统内核的优化策略与性能调优方法,旨在为系统管理员和高级用户提供一套实用的指南。通过分析内核参数调整、文件系统选择、内存管理及网络配置等关键方面,本文揭示了如何有效提升Linux系统的稳定性和运行效率。不同于常规摘要仅概述内容的做法,本摘要直接指出文章的核心价值——提供具体可行的优化措施,助力读者实现系统性能的飞跃。 ####
游客7v53mftipku2u
38 1
无糖可乐嘟嘟
|
13天前
|
监控 算法 Linux
Linux内核锁机制深度剖析与实践优化####
本文作为一篇技术性文章,深入探讨了Linux操作系统内核中锁机制的工作原理、类型及其在并发控制中的应用,旨在为开发者提供关于如何有效利用这些工具来提升系统性能和稳定性的见解。不同于常规摘要的概述性质,本文将直接通过具体案例分析,展示在不同场景下选择合适的锁策略对于解决竞争条件、死锁问题的重要性,以及如何根据实际需求调整锁的粒度以达到最佳效果,为读者呈现一份实用性强的实践指南。 ####
无糖可乐嘟嘟
30 2
游客7v53mftipku2u
|
13天前
|
缓存 监控 网络协议
Linux操作系统的内核优化与实践####
本文旨在探讨Linux操作系统内核的优化策略与实际应用案例,深入分析内核参数调优、编译选项配置及实时性能监控的方法。通过具体实例讲解如何根据不同应用场景调整内核设置,以提升系统性能和稳定性,为系统管理员和技术爱好者提供实用的优化指南。 ####
游客7v53mftipku2u
27 1
liuliunaina
|
15天前
|
负载均衡 算法 Linux
深入探索Linux内核调度机制:公平与效率的平衡####
本文旨在剖析Linux操作系统内核中的进程调度机制,特别是其如何通过CFS(完全公平调度器)算法实现多任务环境下资源分配的公平性与系统响应速度之间的微妙平衡。不同于传统摘要的概览性质,本文摘要将直接聚焦于CFS的核心原理、设计目标及面临的挑战,为读者揭开Linux高效调度的秘密。 ####
liuliunaina
32 3
jiashufen
|
18天前
|
负载均衡 算法 Linux
深入探索Linux内核调度器:公平与效率的平衡####
本文通过剖析Linux内核调度器的工作机制,揭示了其在多任务处理环境中如何实现时间片轮转、优先级调整及完全公平调度算法(CFS),以达到既公平又高效地分配CPU资源的目标。通过对比FIFO和RR等传统调度策略,本文展示了Linux调度器如何在复杂的计算场景下优化性能,为系统设计师和开发者提供了宝贵的设计思路。 ####
jiashufen
31 6
叫个什么名字
|
18天前
|
消息中间件 安全 Linux
深入探索Linux操作系统的内核机制
本文旨在为读者提供一个关于Linux操作系统内核机制的全面解析。通过探讨Linux内核的设计哲学、核心组件、以及其如何高效地管理硬件资源和系统操作,本文揭示了Linux之所以成为众多开发者和组织首选操作系统的原因。不同于常规摘要,此处我们不涉及具体代码或技术细节,而是从宏观的角度审视Linux内核的架构和功能,为对Linux感兴趣的读者提供一个高层次的理解框架。
叫个什么名字
39 2
muxiaoxi
|
19天前
|
缓存 并行计算 Linux
深入解析Linux操作系统的内核优化策略
本文旨在探讨Linux操作系统内核的优化策略,包括内核参数调整、内存管理、CPU调度以及文件系统性能提升等方面。通过对这些关键领域的分析,我们可以理解如何有效地提高Linux系统的性能和稳定性,从而为用户提供更加流畅和高效的计算体验。
muxiaoxi
27 2
liuliunaina
|
19天前
|
缓存 网络协议 Linux
深入探索Linux操作系统的内核优化策略####
本文旨在探讨Linux操作系统内核的优化方法,通过分析当前主流的几种内核优化技术,结合具体案例,阐述如何有效提升系统性能与稳定性。文章首先概述了Linux内核的基本结构,随后详细解析了内核优化的必要性及常用手段,包括编译优化、内核参数调整、内存管理优化等,最后通过实例展示了这些优化技巧在实际场景中的应用效果,为读者提供了一套实用的Linux内核优化指南。 ####
liuliunaina
43 1
无糖可乐嘟嘟
|
19天前
|
算法 前端开发 Linux
深入理解Linux内核调度器:CFS与实时性的平衡####
本文旨在探讨Linux操作系统的核心组件之一——完全公平调度器(CFS)的工作原理,分析其在多任务处理环境中如何实现进程间的公平调度,并进一步讨论Linux对于实时性需求的支持策略。不同于传统摘要仅概述内容要点,本部分将简要预览CFS的设计哲学、核心算法以及它是如何通过红黑树数据结构来维护进程执行顺序,同时触及Linux内核为满足不同应用场景下的实时性要求而做出的权衡与优化。 ####
无糖可乐嘟嘟
24 0

热门文章

最新文章

  • 1
    Windows Linux 删除N天之前文件脚本
  • 2
    linux系统常见日志采集
  • 3
    Linux基础命令---验证组文件grpck
  • 4
    linux查看文件
  • 5
    AIX下配置NFS共享给LINUX
  • 6
    Linux 清空登录信息
  • 7
    Linux内核-协议栈-初始化流程分析
  • 8
    linux文件系统的目录结构
  • 9
    LINUX REDHAT第十五单元文档
  • 10
    Linux文件系统之挂载U盘
  • 1
    Linux内核队列queue.h
    132
  • 2
    Linux命令行快捷键
    75
  • 3
    网络名称空间在Linux虚拟化技术中的位置
    365
  • 4
    linux免密登录报错 Bad owner or permissions on /etc/ssh/ssh_config.d/05-redhat.conf
    335
  • 5
    linux免密登录最简单--图文详解
    56
  • 6
    Linux如何查询端口被占用?
    247
  • 7
    安装【银河麒麟V10】linux系统--并挂载镜像
    2049
  • 8
    linux 虚拟机扩容--直接扩容到根目录
    111
  • 9
    Linux网络名称空间之独立网络资源管理
    84
  • 10
    Linux网络名称空间概述
    97

    • 相关课程

    更多
  • Linux MySQL服务器搭建与应用
  • Linux用户和组管理
  • 计算机基础与Linux入门
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • Linux指令入门-文件与权限
  • Linux系统的文本处理
  • Linux指令入门-系统管理
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • Alibaba Cloud Linux操作系统的安装及使用
  • Alibaba Cloud Linux操作系统Shell程序

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    fs.oss.accessKeyId和fs.oss.accessKeySecret。