В ядре Linux исправлена критическая уязвимость

image

Теги: Linux, уязвимость

Разработчики дистрибутивов Linux не спешат обновлять ядро.

Исследователь безопасности Янн Хорн (Jann Horn) из Google Project Zero обнаружил в ядре Linux опасную уязвимость. Проблема присутствует в ядре с августа 2014 года, когда была выпущена версия 3.16.

Обнаруженная Хорном уязвимость использования памяти после высвобождения (CVE-2018-17182) позволяет вызывать отказ в обслуживании и выполнять произвольный код с привилегиями суперпользователя.

Исследователь опубликовал PoC-эксплоит, однако отметил, что процесс эксплуатации уязвимости требует очень много времени. Запускающий уязвимость процесс должен продолжаться достаточно долго, чтобы вызвать переполнение счетчика ссылок.

Хорн сообщил о проблеме разработчикам ядра Linux 12 сентября текущего года, и спустя два дня она была исправлена. Уязвимость устранена в версиях ядра 4.18.9, 4.14.71, 4.9.128, 4.4.157 и 3.16.58. Тем не менее, по словам исследователя, злоумышленники могли уже разработать свой эксплоит. Помимо этого, проблема усугубляется задержкой выпуска патчей производителями дистрибутивов.

«Стабильный релиз Debian базируется на версии ядра 4.9, но по состоянию на 26.09.2018 в последний раз ядро обновлялось 21.08.2018. То же самое касается Ubuntu. Релиз 16.04 поставляется с ядром, которое в последний раз обновлялось 27.08.2018», - отметил исследователь.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.