More

    Xuất hiện lỗi mới trong nhân Linux

    Đội nghiên cứu Google Project Zero vừa công bố chi tiết và PoC khai thác của lỗ hổng được đánh giá ở mức cực kỳ nghiêm trọng trong nhân Linux kể từ phiên bản 3.16 đến 4.18.8.

    Lỗ hổng CVE-2018-17182 do chuyên gia Jann Horn phát hiện là lỗi vô hiệu bộ nhớ đệm cache trong hệ thống quản lý bộ nhớ phụ của Linux, gây ra lỗ hổng use-after-free (UAF) mà nếu bị khai thác có thể cho phép kẻ tấn công chiếm đặc quyền root trên hệ thống mục tiêu.

    UAF là một dạng lỗi nằm trong khâu quản lý bộ nhớ có thể bị khai thác bởi người dùng không có đặc quyền để xâm phạm hoặc thay đổi dữ liệu trong bộ nhớ, tạo điều kiện cho tấn công DoS hoặc leo thang đặc quyền để chiếm quyền quản trị trên hệ thống.

    Khai thác nhân Linux mất 1 giờ để chiếm quyền root

    Chuyên gia Horn cho biết PoC của quá trình khai thác này đã được công bố và “chỉ mất một giờ để thực hiện “xử” một root shell”.

    Horn cũng đã báo cáo lỗ hổng này đến những nhà bảo trì của Linux kernel vào ngày 12/09 và đội ngũ của Linux đã xử lý vấn đề trong upstream kernel tree chỉ trong có hai ngày.
    Lỗ hổng trong nhân Linux được tiết lộ trên danh sách gửi email oss-security vào ngày 18/09 và được vá trong các phiên bản nhân được hỗ trợ 4.18.9, 4.14.71, 4.9.128, và 4.4.157 vào ngày tiếp theo.

    Cũng đã có bản vá cho phiên bản 3.16.58.

    Bên cạnh đó, trong tuần vừa qua, lỗi mới trong nhân Linux ảnh hưởng đến các bản phân phối Red Hat, CentOS và Debian cũng đã được Qualys – nhà cung cấp giải pháp an ninh nền tảng đám mây phát hiện và công bố PoC.

    Tuy nhiên Debian và Ubuntu sau khi được thông báo về lỗ hổng vẫn chưa phát hành được bản vá để xử lý lỗ hổng này dù được báo cáo trước đó hơn một tuần.

    Để phản hồi lại bài blog của Horn, đội bảo trì của Ubuntu cho biết họ có thể phát hành bản cập nhật cho lỗ hổng trong nhân Linux vào khoảng 01/10/2018.

    Theo Horn, thường thì phải có bản vá trong upstream kernel, lỗ hổng và bản vá mới được công bố nhưng ở trường hợp này có thể cho phép kẻ tấn công thực hiện việc khai thác nhân Linux đề nhằm vào người dùng.

    Theo The Hacker News, Whitehat VN

    Bài Viết Mới

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Smartphone bí ẩn mà LG sắp ra mắt: Đưa công nghệ của Iron Man bước ra đời thực

    Sản phẩm mang nhiều tham vọng của LG được mô tả là “mang đến những trải nghiệm mà chưa có bất kỳ...

    NaviBank tuyển dụng IT

    Mô tả công việc Xử lý các sự cố, tiếp nhận và giải đáp các yêu cầu, thắc...

    Zalo PC giúp giáo viên dạy học hiệu quả trong mùa dịch Covid-19

    Tận dụng các tính năng của Zalo PC để hỗ trợ việc dạy và học, nhà trường có thể hạn chế sự...

    Related Stories

    Stay on op - Ge the daily news in your inbox