Przejdź na
  • Poważna usterka bezpieczeństwa w kernelu Linux

Poważna usterka bezpieczeństwa w kernelu Linux

Serwis SecurityFocus poinformował, że Duane Griffin usunął z kodu kernela Linux lukę umożliwiającą lokalnemu użytkownikowi rozszerzanie swoich uprawnień do poziomu superużytkownika.

Obraz
Źródło zdjęć: © linux.org

Problem
Przyczyną problemu jest możliwość wystąpienia błędu warunku granicznego w kodzie odpowiedzialnym za obsługę podsystemu eCryptfs (fs/ecryptfs/inode.c). Wywoływana jest tam odpowiedzialna za odczytanie wartości dowiązania symbolicznego funkcja systemowa readlink(). W przypadku błędu zwraca ona jako wynik wartość -1. jednak z powodu programistycznego niedopatrzenia rezultat nie jest sprawdzany pod tym kątem. Z powodu braku instrukcji warunkowej testującej wystąpienie tego granicznego warunku w dalszej części podprogramu ujemna wartość może zostać użyta jako indeks tablicy. W zależności od rodzaju danych znajdujących się pod mylnie wskazanym miejscem może dojść do awaryjnego zawieszenia pracy jądra lub wykonania umiejętnie wprowadzonego kodu.

Obraz

Podatne na atak wydania to wszystkie z linii 2.6. których numer wersji jest mniejszy niż 2.6.28.1. Systemy niekorzystające z mechanizmu eCryptfs nie są zagrożone.

Rozwiązanie
Problem został rozwiązany w wydaniu 2.6.28.1. w zatwierdzonej zmianie o znaczniku systemu kontroli wersji abf366bf652683be33a356640b53ef04b807442f. W serwisie kernel.org pojawiły się również patche, które można zaaplikować na źródła różnych wydań kerneli z rodziny 2.6.
wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Indie finalizują przetarg. Chcą nowych samolotów transportowych
Indie finalizują przetarg. Chcą nowych samolotów transportowych
Spytał o jeden rodzaj broni. Hegseth podał krótką odpowiedź
Spytał o jeden rodzaj broni. Hegseth podał krótką odpowiedź
Nieograniczone zapasy bomb. USA będą ich używać w Iranie
Nieograniczone zapasy bomb. USA będą ich używać w Iranie
mObywatel w UE. Wkrótce start programu pilotażowego
mObywatel w UE. Wkrótce start programu pilotażowego
Szpiegostwo i możliwe uderzenia w infrastrukturę krytyczną. Iran kontratakuje
Szpiegostwo i możliwe uderzenia w infrastrukturę krytyczną. Iran kontratakuje
Nic tam nie widać. Gigantyczne kosmiczne pustki wcale nie są puste
Nic tam nie widać. Gigantyczne kosmiczne pustki wcale nie są puste
Google Chrome i nowe aktualizacje. Zmiana od września 2026 r.
Google Chrome i nowe aktualizacje. Zmiana od września 2026 r.
Są lepsze niż Patriot. Przekonali się Rosjanie, przekona się Iran
Są lepsze niż Patriot. Przekonali się Rosjanie, przekona się Iran
Izrael pokazał nagranie. "Zwróćcie uwagę na te detale"
Izrael pokazał nagranie. "Zwróćcie uwagę na te detale"
"Dwa razy większa siła". Takiej mocy użyli w operacji "Epicka furia"
"Dwa razy większa siła". Takiej mocy użyli w operacji "Epicka furia"
Wojna robotów w Ukrainie. Rosyjski dron był bez szans
Wojna robotów w Ukrainie. Rosyjski dron był bez szans
Iran rozwija pociski balistyczne. Zasięg obejmuje także część Europy
Iran rozwija pociski balistyczne. Zasięg obejmuje także część Europy
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇