开发者社区> 晚来风急> 正文

绿盟科技发布Linux内核本地提权漏洞威胁预警通告 这个漏洞9年才被修复

简介:
+关注继续查看

Linux内核出现本地提权漏洞 CVE-2016-5195 事件引发业界关注。绿盟科技发布Linux内核本地提权漏洞威胁预警通告,通告将该漏洞定义为中级,这意味着该漏洞影响范围可控,危害程度可控,利用难度较高,绿盟科技将实施7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

通告全文如下

Linux内核的内存子系统在处理写时拷贝(Copy-on-Write,缩写为COW)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,进而可以获取整个系统的最高权限。漏洞详情如下:

https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails

漏洞验证程序

POC链接地址如下:

https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c

绿盟科技威胁预警级别

预警级别

中级:影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

影响范围

该漏洞从linux内核版本>=2.6.22以后就开始存在,影响全版本Linux,直到2016年10月18日才修复。其中Red Hat、Debian和Ubuntu三个发行版的受影响及修复情况见如下链接:

  • Red Hat: https://access.redhat.com/security/cve/cve-2016-5195
  • Debian: https://security-tracker.debian.org/tracker/CVE-2016-5195
  • Ubuntu:http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html

修复建议

使用前一节所提发行版Linux的用户,可以参考上述链接,根据官方建议进行升级或按要求采取规避措施

用户也可以根据以下链接,重新编译Linux来修复该漏洞:

https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619

绿盟科技安全团队会持续关注事态变化,后续会发布详细的分析报告、产品升级及解决方案,请广大用户随时关注。

绿盟科技威胁事件定级标准

  • 高  影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。
  • 中  影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。
  • 低  影响较小,危害程度较小。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的



原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-warning-notice-linux-kernel-local-rights-loophole-cve-2016-5195

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
中国Foscam制造的IP摄像机存在大量漏洞,且未被修复
本文讲的是中国Foscam制造的IP摄像机存在大量漏洞,且未被修复,近日,中国Foscam公司制造的IP摄像机被曝存在多个安全漏洞。而在几个月前,这些漏洞信息就已经提交给了制造商,只是至今未曾修复。此外,还有其他一些品牌会销售Foscam制造摄像机,如OptiCam。
1303 0
Alibaba Cloud Linux 2 LTS 正式发布,提供更高性能和更多保障!
在Alibaba Cloud Linux 2(原Aliyun Linux 2)上线一年之际阿里云对外正式发布Alibaba Cloud Linux 2 LTS版本。LTS版本的发布对于Alibaba Cloud Linux 2来说是一个重要的里程碑,标志阿里云将为Alibaba Cloud Linux 2提供长期支持、稳定的更新、更好的服务,为Alibaba Cloud Linux 2的客户提供更多保障。
784 0
duilib List控件,横向滚动时列表项不移动或者显示错位的bug的修复
转载请说明出处,谢谢~~:http://blog.csdn.net/zhuhongshu/article/details/42264673         关于这个bug的修复我之前写过一篇博客,连接为:http://blog.csdn.net/zhuhongshu/article/details/40622705         本以为已经修复好,但是后来有网友私聊我,反映到还存在bug。
1124 0
天猫精灵发布“智慧屏”新品 将与平头哥共同定制语音芯片
9月25日,记者从云栖大会上获悉,天猫精灵将成为首款采用平头哥定制芯片的家用产品。按照规划,阿里人工智能实验室和平头哥共同定制开发的智能语音芯片TG6100N,在即将推出的音箱产品中使用。
275 0
《2018中国人新年俗报告》发布,告诉你国人今年怎么过年!
这个春节,竟发生了这么多意想不到的变化…
2634 0
【直播预告】百川解码——热修复的坑和阿里的解
  当App发布之后,如果出现客户端的问题,实在是干着急,毕竟覆水难收。各方会焦头烂额:重新打包App、测试、向各个应用市场和渠道换包、提示用户升级、用户下载、覆盖安装……有时候仅仅是为了修改了一行代码,也要付出巨大的成本进行换包和重新发布。有没有一种最优化的方案,当线上应用出现紧急Bug时,无需再重新发版本,通过发送补丁的方式达到修复Bug的功能?
2159 0
duilib 修复Text控件无法设置宽度的bug,增加自动加算宽度的属性
转载请说明原出处,谢谢~~:       今天有朋友反映CTextUI控件无法设置宽度,于是修复了这个bug,顺便给Text控件增加了一个自动计算宽度的属性,描述如下       bug出现在EstimeteSize函数,...
950 0
duilib 修复padding属性导致其他控件自动计算宽高度错误的bug和导致自己宽高度错误的bug
转载请说明原出处,谢谢~~:http://blog.csdn.net/zhuhongshu/article/details/42950733          BUG 一:padding导致其他控件宽度计算错误             今天在写项目的一个布局时,用到了最常用的相对布局属性padding:在一个纵向容器里,给其中的各个子元素设置了padding属性来做相对布局。
1138 0
+关注
9379
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载