当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 15 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 12:49 
头像

注册: 2007-07-14 20:45
帖子: 756
送出感谢: 50
接收感谢: 17
http://www.cnbeta.com/articles/92360.htm
Linux内核漏洞最近几乎是一月一爆,在8月15号才爆了一个几乎通杀所有版本所有内核所有架构的内核漏洞;今天在学生返校的大喜日子里,竟然又爆了一个,通杀内核2.6 < 2.6.19的所有32位Linux,算是google security team给学生们的礼物吧。

就现在的情况看,RedHat暂时还没发布官方补丁,貌似也没有什么临时修复方案,系统管理员唯一能做的就是等待再等待。

我想Linux内核的开发团队需要考虑引入微软的SDL安全开发生命周期以增强Linux内核的安全性,否则用户用着真是提心吊胆。

下面展示一下这个漏洞的威力:

http://img.cnbeta.com/newsimg/090901/09082902031162037.png

别说我是标题党,的确是一个命令就可以获得root权限吧,在32位的RHEL4里基本上是百发百中,永不落空。

包子将密切关注RedHat、Debian、Ubuntu、Gentoo等主流发行版针对此漏洞的动向,出于对用户的保护,如果您需要了解和跟踪漏洞的细节,漏洞的重现方式和重现经验,敬请关注 http://baoz.net/linux-localroot-no-patch-again/ 以获取最新资讯


附件:
09082902031162037.png
09082902031162037.png [ 7.83 KiB | 被浏览 1841 次 ]
页首
 用户资料  
 
2 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 12:52 

注册: 2006-10-11 20:41
帖子: 375
送出感谢: 0 次
接收感谢: 0 次
hardy就是2.6.24了,而且这种漏洞都需要用本地帐号。我的电脑都是我自己使,没事。


页首
 用户资料  
 
3 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 13:03 

注册: 2008-01-09 22:41
帖子: 18311
送出感谢: 0 次
接收感谢: 6
2.6.28 漂过


页首
 用户资料  
 
4 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 13:05 
头像

注册: 2007-05-06 2:46
帖子: 15634
送出感谢: 0 次
接收感谢: 2
那天不死人


页首
 用户资料  
 
5 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 14:36 
头像

注册: 2008-03-27 17:21
帖子: 206
送出感谢: 0 次
接收感谢: 0 次
囗囗囗囗!i use jaunty 2.6.28-15


页首
 用户资料  
 
6 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 16:27 
头像

注册: 2005-08-14 19:53
帖子: 3998
送出感谢: 1
接收感谢: 2
服务器有些危险。

2.6.31-rc8飘过


页首
 用户资料  
 
7 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 16:29 
头像

注册: 2008-12-13 19:39
帖子: 13284
地址: 物华天宝人杰地灵
送出感谢: 1
接收感谢: 6
对桌面用户没有影响,桌面系统内核更新快。 :em06


_________________
行到水穷处,坐看云起时。
海内生明月,天涯共此夕。
--------------------吾本独!


页首
 用户资料  
 
8 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 16:34 
头像

注册: 2007-05-06 2:46
帖子: 15634
送出感谢: 0 次
接收感谢: 2
今天又出31-rc9了

别是这漏洞闹的


页首
 用户资料  
 
9 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 19:39 
头像

注册: 2007-08-05 17:40
帖子: 4968
送出感谢: 0 次
接收感谢: 4
这个漏洞是针对低版本的。


_________________
free VPN
YouKuDownLoader
代码:
pip3 install ykdl

install YouKuDownLoader, have fun in downloading.
YouKuDownLoader所支持网站列表


页首
 用户资料  
 
10 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-01 19:40 
头像

注册: 2007-08-05 17:40
帖子: 4968
送出感谢: 0 次
接收感谢: 4
不过,现在这么敏感,貌似要意图杀掉linux


_________________
free VPN
YouKuDownLoader
代码:
pip3 install ykdl

install YouKuDownLoader, have fun in downloading.
YouKuDownLoader所支持网站列表


页首
 用户资料  
 
11 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-02 12:43 
头像

注册: 2007-10-24 20:20
帖子: 1565
地址: 北京、海淀
送出感谢: 0 次
接收感谢: 1
a文件内容是什么?


_________________
Dell Vostro 1500, T7300/4GB/WD5000BEVT/nVidia 8400GM, Ubuntu 10.04 x86_64/VMware 7(Win7)
我的博客:http://xieshaohu.wordpress.com/


页首
 用户资料  
 
12 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-02 14:47 
头像

注册: 2005-08-14 19:53
帖子: 3998
送出感谢: 1
接收感谢: 2
hcym 写道:
今天又出31-rc9了

别是这漏洞闹的


把我吓一跳。哪里来rc9?别告诉我ubuntu的版本号变成2.6.31.9了就是rc9。 :em06

我是说这一个rc9出来速度也太快了吧。rc8才出3天。

2.6.30的时候rc8过了就没有了,直接稳定版。


页首
 用户资料  
 
13 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-02 17:09 
头像

注册: 2007-04-28 15:14
帖子: 1143
系统: NixOS+虚拟机各种系统
送出感谢: 0 次
接收感谢: 3
那个 baoz网站哗众取宠而已。老是一个命令一个命令什么的。那个一个命令里面封装了多少命令啊,而且触发的条件还很苛刻,不说上次的那个,这次这个是内核2.6 < 2.6.19的所有32位Linux,连debian的stable的内核都比这高,桌面用户都不需要作什么事情就可以不受影响。

根据语气,我还一个命令搞定win95(win95之前的系统都将受影响)呢,可惜,大家都用winxp以上的。


_________________
黑色的不是眼睛,而是眼圈
关注和实现科技领域未来3年内有大规模普及潜力、能改善穷人生活品质的技术/应用。
皓龙双路 + NixOS + openbox + qemu/spice 爱编 + 藏噶+蒙文输入法+3d打印管理+激光雕刻


页首
 用户资料  
 
14 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-02 21:50 
头像

注册: 2006-12-23 13:46
帖子: 9203
地址: Azores Islands
送出感谢: 0 次
接收感谢: 1
lauchpad 上,ubuntu 的bug从周日到今天,仅仅四天时间,总计有300多个bug报道,rss标题都没时间看,如果没事天天盯着redhat ,ubuntu debian arch gentoo fc或内核组织的bug report, ,rss 或邮件列表,未来20天内,一定会再出这种吓死人的标题。

哦对了, 的确有商业游说团队的说法。


_________________
no security measure is worth anything if an attacker has physical access to the machine


页首
 用户资料  
 
15 楼 
 文章标题 : Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
帖子发表于 : 2009-09-03 10:39 
头像

注册: 2009-07-07 21:00
帖子: 158
地址: 地址?
送出感谢: 0 次
接收感谢: 0 次
linux 2.6.30.5 飘过~


_________________
飘过~


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 15 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译