В ядре Linux исправлена критическая уязвимость

В ядре Linux исправлена критическая уязвимость

Разработчики дистрибутивов Linux не спешат обновлять ядро.

Исследователь безопасности Янн Хорн (Jann Horn) из Google Project Zero обнаружил в ядре Linux опасную уязвимость. Проблема присутствует в ядре с августа 2014 года, когда была выпущена версия 3.16.

Обнаруженная Хорном уязвимость использования памяти после высвобождения (CVE-2018-17182) позволяет вызывать отказ в обслуживании и выполнять произвольный код с привилегиями суперпользователя.

Исследователь опубликовал PoC-эксплоит, однако отметил, что процесс эксплуатации уязвимости требует очень много времени. Запускающий уязвимость процесс должен продолжаться достаточно долго, чтобы вызвать переполнение счетчика ссылок.

Хорн сообщил о проблеме разработчикам ядра Linux 12 сентября текущего года, и спустя два дня она была исправлена. Уязвимость устранена в версиях ядра 4.18.9, 4.14.71, 4.9.128, 4.4.157 и 3.16.58. Тем не менее, по словам исследователя, злоумышленники могли уже разработать свой эксплоит. Помимо этого, проблема усугубляется задержкой выпуска патчей производителями дистрибутивов.

«Стабильный релиз Debian базируется на версии ядра 4.9, но по состоянию на 26.09.2018 в последний раз ядро обновлялось 21.08.2018. То же самое касается Ubuntu. Релиз 16.04 поставляется с ядром, которое в последний раз обновлялось 27.08.2018», - отметил исследователь.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!