Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
- 九天星
- 帖子: 1440
- 注册时间: 2007-07-14 20:45
Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
http://www.cnbeta.com/articles/92360.htm
Linux内核漏洞最近几乎是一月一爆,在8月15号才爆了一个几乎通杀所有版本所有内核所有架构的内核漏洞;今天在学生返校的大喜日子里,竟然又爆了一个,通杀内核2.6 < 2.6.19的所有32位Linux,算是google security team给学生们的礼物吧。
就现在的情况看,RedHat暂时还没发布官方补丁,貌似也没有什么临时修复方案,系统管理员唯一能做的就是等待再等待。
我想Linux内核的开发团队需要考虑引入微软的SDL安全开发生命周期以增强Linux内核的安全性,否则用户用着真是提心吊胆。
下面展示一下这个漏洞的威力:
http://img.cnbeta.com/newsimg/090901/09 ... 162037.png
别说我是标题党,的确是一个命令就可以获得root权限吧,在32位的RHEL4里基本上是百发百中,永不落空。
包子将密切关注RedHat、Debian、Ubuntu、Gentoo等主流发行版针对此漏洞的动向,出于对用户的保护,如果您需要了解和跟踪漏洞的细节,漏洞的重现方式和重现经验,敬请关注 http://baoz.net/linux-localroot-no-patch-again/ 以获取最新资讯
Linux内核漏洞最近几乎是一月一爆,在8月15号才爆了一个几乎通杀所有版本所有内核所有架构的内核漏洞;今天在学生返校的大喜日子里,竟然又爆了一个,通杀内核2.6 < 2.6.19的所有32位Linux,算是google security team给学生们的礼物吧。
就现在的情况看,RedHat暂时还没发布官方补丁,貌似也没有什么临时修复方案,系统管理员唯一能做的就是等待再等待。
我想Linux内核的开发团队需要考虑引入微软的SDL安全开发生命周期以增强Linux内核的安全性,否则用户用着真是提心吊胆。
下面展示一下这个漏洞的威力:
http://img.cnbeta.com/newsimg/090901/09 ... 162037.png
别说我是标题党,的确是一个命令就可以获得root权限吧,在32位的RHEL4里基本上是百发百中,永不落空。
包子将密切关注RedHat、Debian、Ubuntu、Gentoo等主流发行版针对此漏洞的动向,出于对用户的保护,如果您需要了解和跟踪漏洞的细节,漏洞的重现方式和重现经验,敬请关注 http://baoz.net/linux-localroot-no-patch-again/ 以获取最新资讯
- 附件
-
- 09082902031162037.png (7.83 KiB) 查看 2698 次
-
- 帖子: 375
- 注册时间: 2006-10-11 20:41
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
hardy就是2.6.24了,而且这种漏洞都需要用本地帐号。我的电脑都是我自己使,没事。
-
- 帖子: 18311
- 注册时间: 2008-01-09 22:41
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
2.6.28 漂过
- hcym
- 帖子: 15634
- 注册时间: 2007-05-06 2:46
- charleskao
- 帖子: 206
- 注册时间: 2008-03-27 17:21
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
囗囗囗囗!i use jaunty 2.6.28-15
- jarryson
- 帖子: 4002
- 注册时间: 2005-08-14 19:53
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
服务器有些危险。
2.6.31-rc8飘过
2.6.31-rc8飘过
- wangdu2002
- 帖子: 13284
- 注册时间: 2008-12-13 19:39
- 来自: 物华天宝人杰地灵
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
对桌面用户没有影响,桌面系统内核更新快。
行到水穷处,坐看云起时。
海内生明月,天涯共此夕。
--------------------吾本独!
海内生明月,天涯共此夕。
--------------------吾本独!
- hcym
- 帖子: 15634
- 注册时间: 2007-05-06 2:46
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
今天又出31-rc9了
别是这漏洞闹的
别是这漏洞闹的
- cnkilior
- 论坛版主
- 帖子: 4984
- 注册时间: 2007-08-05 17:40
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
这个漏洞是针对低版本的。
- cnkilior
- 论坛版主
- 帖子: 4984
- 注册时间: 2007-08-05 17:40
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
不过,现在这么敏感,貌似要意图杀掉linux
- xieshaohu
- 帖子: 1565
- 注册时间: 2007-10-24 20:20
- 来自: 北京、海淀
- 联系:
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
a文件内容是什么?
Dell Vostro 1500, T7300/4GB/WD5000BEVT/nVidia 8400GM, Ubuntu 10.04 x86_64/VMware 7(Win7)
我的博客:http://xieshaohu.wordpress.com/
我的博客:http://xieshaohu.wordpress.com/
- jarryson
- 帖子: 4002
- 注册时间: 2005-08-14 19:53
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
把我吓一跳。哪里来rc9?别告诉我ubuntu的版本号变成2.6.31.9了就是rc9。 。hcym 写了:今天又出31-rc9了
别是这漏洞闹的
我是说这一个rc9出来速度也太快了吧。rc8才出3天。
2.6.30的时候rc8过了就没有了,直接稳定版。
- jobinson99
- 帖子: 1169
- 注册时间: 2007-04-28 15:14
- 系统: NixOS+虚拟机各种系统
- 联系:
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
那个 baoz网站哗众取宠而已。老是一个命令一个命令什么的。那个一个命令里面封装了多少命令啊,而且触发的条件还很苛刻,不说上次的那个,这次这个是内核2.6 < 2.6.19的所有32位Linux,连debian的stable的内核都比这高,桌面用户都不需要作什么事情就可以不受影响。
根据语气,我还一个命令搞定win95(win95之前的系统都将受影响)呢,可惜,大家都用winxp以上的。
根据语气,我还一个命令搞定win95(win95之前的系统都将受影响)呢,可惜,大家都用winxp以上的。
黑色的不是眼睛,而是眼圈
关注和实现科技领域未来3年内有大规模普及潜力、能改善穷人生活品质的技术/应用。
NixOS + lxqt + 无人生产线 + 无人农场 (已发明全套山地农业机械 + 线性喷洒系统,成片农业采收系统)+ 随身设备,柔性电路,冷热双调衣……
关注和实现科技领域未来3年内有大规模普及潜力、能改善穷人生活品质的技术/应用。
NixOS + lxqt + 无人生产线 + 无人农场 (已发明全套山地农业机械 + 线性喷洒系统,成片农业采收系统)+ 随身设备,柔性电路,冷热双调衣……
- skyx
- 论坛版主
- 帖子: 9202
- 注册时间: 2006-12-23 13:46
- 来自: Azores Islands
- 联系:
Re: Linux内核20天内连爆两高危漏洞,一个命令又可以获得root权限
lauchpad 上,ubuntu 的bug从周日到今天,仅仅四天时间,总计有300多个bug报道,rss标题都没时间看,如果没事天天盯着redhat ,ubuntu debian arch gentoo fc或内核组织的bug report, ,rss 或邮件列表,未来20天内,一定会再出这种吓死人的标题。
哦对了, 的确有商业游说团队的说法。
哦对了, 的确有商业游说团队的说法。
no security measure is worth anything if an attacker has physical access to the machine
- harteg
- 帖子: 158
- 注册时间: 2009-07-07 21:00
- 来自: 地址?