在之前Ubuntu对于Linux内核的实现中存在几个漏洞,其中包括一个use-after-free漏洞和一个时序边信道漏洞,今天,Ubuntu发布了相应的补丁。
在周三上午Ubuntu发布的一个insure中,它督促用户去打补丁,如果用户使用的是Ubuntu 14.04LTS版本或者其他衍生版本。
之前的 use-after-free漏洞位于内核中的CXGB3驱动,攻击者可以利用它进行拒绝服务攻击导致系统崩溃,之后可能导致任意代码执行。这个漏洞的发现者是Venkatesh Pottem,这也是这次更新的两个中等安全问题补丁中的其中一个。
第二个漏洞,是由David Herrmann发现的。因为内核错误地解释文件描述符后发送到unix域套接字,他简单解释了这个漏洞的触发过程。和第一个问题一样,攻击者可以利用漏洞进行拒绝服务攻击。
第三个拒绝服务问题源于这样一个事实:Linux内核没能正确执行限制数据分配给缓冲区,这样就可能会耗尽系统资源从而导致拒绝服务。
时序边信道漏洞存在于Linux的扩展验证模块( Extended Verification Module ,简称为EVM ),如果它被利用,可能会影响系统的完整性。EVM在Linux内核中主要用于防止篡改,并且在允许操作文件之前对文件的扩展属性进行验证。要利用这个漏洞,攻击者必须准确分析出执行加密算法使用了多少时间,然后卡好时间进行攻击。
其他一些问题也在今天对Ubuntu 14.04 LTS发布的补丁中被修复。
另外,Ubuntu官方也鼓励那些运行Ubuntu 12.04 LTS版本的用户也进行更新用于修复上述问题。运行Ubuntu 15.10的用户之后也会收到对其他一些问题的修复更新,包括在树莓派2的Linux内核中发现的问题。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://threatpost.com/ubuntu-patches-kernel-vulnerabilities/117229/
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)