Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

最新ubuntu/linux/开源新闻或者其它IT相关资讯
回复
头像
九天星
帖子: 1440
注册时间: 2007-07-14 20:45

Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#1

帖子 九天星 » 2009-09-01 12:49

http://www.cnbeta.com/articles/92360.htm
Linux内核漏洞最近几乎是一月一爆,在8月15号才爆了一个几乎通杀所有版本所有内核所有架构的内核漏洞;今天在学生返校的大喜日子里,竟然又爆了一个,通杀内核2.6 < 2.6.19的所有32位Linux,算是google security team给学生们的礼物吧。

就现在的情况看,RedHat暂时还没发布官方补丁,貌似也没有什么临时修复方案,系统管理员唯一能做的就是等待再等待。

我想Linux内核的开发团队需要考虑引入微软的SDL安全开发生命周期以增强Linux内核的安全性,否则用户用着真是提心吊胆。

下面展示一下这个漏洞的威力:

http://img.cnbeta.com/newsimg/090901/09 ... 162037.png

别说我是标题党,的确是一个命令就可以获得root权限吧,在32位的RHEL4里基本上是百发百中,永不落空。

包子将密切关注RedHat、Debian、Ubuntu、Gentoo等主流发行版针对此漏洞的动向,出于对用户的保护,如果您需要了解和跟踪漏洞的细节,漏洞的重现方式和重现经验,敬请关注 http://baoz.net/linux-localroot-no-patch-again/ 以获取最新资讯
附件
09082902031162037.png
09082902031162037.png (7.83 KiB) 查看 2698 次
aloha
帖子: 375
注册时间: 2006-10-11 20:41

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#2

帖子 aloha » 2009-09-01 12:52

hardy就是2.6.24了,而且这种漏洞都需要用本地帐号。我的电脑都是我自己使,没事。
delectate
帖子: 18311
注册时间: 2008-01-09 22:41

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#3

帖子 delectate » 2009-09-01 13:03

2.6.28 漂过
头像
hcym
帖子: 15634
注册时间: 2007-05-06 2:46

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#4

帖子 hcym » 2009-09-01 13:05

那天不死人
头像
charleskao
帖子: 206
注册时间: 2008-03-27 17:21

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#5

帖子 charleskao » 2009-09-01 14:36

囗囗囗囗!i use jaunty 2.6.28-15
头像
jarryson
帖子: 4002
注册时间: 2005-08-14 19:53

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#6

帖子 jarryson » 2009-09-01 16:27

服务器有些危险。

2.6.31-rc8飘过
头像
wangdu2002
帖子: 13284
注册时间: 2008-12-13 19:39
来自: 物华天宝人杰地灵

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#7

帖子 wangdu2002 » 2009-09-01 16:29

对桌面用户没有影响,桌面系统内核更新快。 :em06
行到水穷处,坐看云起时。
海内生明月,天涯共此夕。
--------------------吾本独!
头像
hcym
帖子: 15634
注册时间: 2007-05-06 2:46

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#8

帖子 hcym » 2009-09-01 16:34

今天又出31-rc9了

别是这漏洞闹的
头像
cnkilior
论坛版主
帖子: 4984
注册时间: 2007-08-05 17:40

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#9

帖子 cnkilior » 2009-09-01 19:39

这个漏洞是针对低版本的。
头像
cnkilior
论坛版主
帖子: 4984
注册时间: 2007-08-05 17:40

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#10

帖子 cnkilior » 2009-09-01 19:40

不过,现在这么敏感,貌似要意图杀掉linux
头像
xieshaohu
帖子: 1565
注册时间: 2007-10-24 20:20
来自: 北京、海淀
联系:

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#11

帖子 xieshaohu » 2009-09-02 12:43

a文件内容是什么?
Dell Vostro 1500, T7300/4GB/WD5000BEVT/nVidia 8400GM, Ubuntu 10.04 x86_64/VMware 7(Win7)
我的博客:http://xieshaohu.wordpress.com/
头像
jarryson
帖子: 4002
注册时间: 2005-08-14 19:53

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#12

帖子 jarryson » 2009-09-02 14:47

hcym 写了:今天又出31-rc9了

别是这漏洞闹的
把我吓一跳。哪里来rc9?别告诉我ubuntu的版本号变成2.6.31.9了就是rc9。 :em06

我是说这一个rc9出来速度也太快了吧。rc8才出3天。

2.6.30的时候rc8过了就没有了,直接稳定版。
头像
jobinson99
帖子: 1169
注册时间: 2007-04-28 15:14
系统: NixOS+虚拟机各种系统
联系:

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#13

帖子 jobinson99 » 2009-09-02 17:09

那个 baoz网站哗众取宠而已。老是一个命令一个命令什么的。那个一个命令里面封装了多少命令啊,而且触发的条件还很苛刻,不说上次的那个,这次这个是内核2.6 < 2.6.19的所有32位Linux,连debian的stable的内核都比这高,桌面用户都不需要作什么事情就可以不受影响。

根据语气,我还一个命令搞定win95(win95之前的系统都将受影响)呢,可惜,大家都用winxp以上的。
黑色的不是眼睛,而是眼圈
关注和实现科技领域未来3年内有大规模普及潜力、能改善穷人生活品质的技术/应用。
NixOS + lxqt + 无人生产线 + 无人农场 (已发明全套山地农业机械 + 线性喷洒系统,成片农业采收系统)+ 随身设备,柔性电路,冷热双调衣……
头像
skyx
论坛版主
帖子: 9202
注册时间: 2006-12-23 13:46
来自: Azores Islands
联系:

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#14

帖子 skyx » 2009-09-02 21:50

lauchpad 上,ubuntu 的bug从周日到今天,仅仅四天时间,总计有300多个bug报道,rss标题都没时间看,如果没事天天盯着redhat ,ubuntu debian arch gentoo fc或内核组织的bug report, ,rss 或邮件列表,未来20天内,一定会再出这种吓死人的标题。

哦对了, 的确有商业游说团队的说法。
no security measure is worth anything if an attacker has physical access to the machine
头像
harteg
帖子: 158
注册时间: 2009-07-07 21:00
来自: 地址?

Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限

#15

帖子 harteg » 2009-09-03 10:39

linux 2.6.30.5 飘过~
飘过~
回复