首页
社区
课程
招聘
Ubuntu修复内核漏洞
发表于: 2016-4-10 13:29 1300

Ubuntu修复内核漏洞

2016-4-10 13:29
1300
新闻链接:http://bobao.360.cn/news/detail/2913.html
新闻时间:2016年4月7日
新闻正文:在之前Ubuntu对于Linux内核的实现中存在几个漏洞,其中包括一个use-after-free漏洞和一个时序边信道漏洞,今天,Ubuntu发布了相应的补丁。

在周三上午Ubuntu发布的一个insure中,它督促用户去打补丁,如果用户使用的是Ubuntu 14.04LTS版本或者其他衍生版本。

之前的 use-after-free漏洞位于内核中的CXGB3驱动,攻击者可以利用它进行拒绝服务攻击导致系统崩溃,之后可能导致任意代码执行。这个漏洞的发现者是Venkatesh Pottem,这也是这次更新的两个中等安全问题补丁中的其中一个。

第二个漏洞,是由David Herrmann发现的。因为内核错误地解释文件描述符后发送到unix域套接字,他简单解释了这个漏洞的触发过程。和第一个问题一样,攻击者可以利用漏洞进行拒绝服务攻击。

第三个拒绝服务问题源于这样一个事实:Linux内核没能正确执行限制数据分配给缓冲区,这样就可能会耗尽系统资源从而导致拒绝服务。

时序边信道漏洞存在于Linux的扩展验证模块( Extended Verification Module ,简称为EVM ),如果它被利用,可能会影响系统的完整性。EVM在Linux内核中主要用于防止篡改,并且在允许操作文件之前对文件的扩展属性进行验证。要利用这个漏洞,攻击者必须准确分析出执行加密算法使用了多少时间,然后卡好时间进行攻击。

其他一些问题也在今天对Ubuntu 14.04 LTS发布的补丁中被修复。

另外,Ubuntu官方也鼓励那些运行Ubuntu 12.04 LTS版本的用户也进行更新用于修复上述问题。运行Ubuntu 15.10的用户之后也会收到对其他一些问题的修复更新,包括在树莓派2的Linux内核中发现的问题。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://threatpost.com/ubuntu-patches-kernel-vulnerabilities/117229/

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//