《今日俄罗斯》报道(2016 年 1 月 20 日)发现了一种新的零日漏洞,该漏洞影响 Linux 以及所有基于 Linux 的计算机和手机操作系统。
什么是交易;它如何影响 Ubuntu;我们什么时候可以期待能够关闭这个安全漏洞的安全更新?
kos*_*kos 35
引用文章:
[...] “Yevgeny Pats 发现 Linux 内核中的会话密钥环实现在加入现有会话密钥环时没有正确引用计数。本地攻击者可以使用它来导致拒绝服务(系统崩溃)或可能执行任意具有管理权限的代码,”阅读今天的Ubuntu 安全通知 USN-2872-1 for Ubuntu 15.10。[...]
和
[...] 补丁现在可用于 Ubuntu 15.10 (Wily Werewolf)、Ubuntu 15.04 (Vivid Vervet) 和 Ubuntu 14.04 LTS (Trusty Tahr) 发行版。[...]
和
[...] 敦促您将内核包升级到
linux-image-4.2.0-25 (4.2.0-25.30)Ubuntu 15.10 (Wily Werewolf)、linux-image-4.2.0-1020-raspi2 4.2.0-1020.27Ubuntu 15.10 (Raspberry Pi 2)、linux-image-3.19.0-47 (3.19.0-47.53)Ubuntu 15.04 (Vivid Vervet) 和linux-image-3.13.0-76 (3.13.0-76.120)Ubuntu 14.04 LTS (Trusty Tahr)。[...]
因此,修补版本(15.10 / 15.04 / 14.04,根据 Canonical 也是 12.04)的用户可以(并且应该)通过运行以下命令立即升级:
sudo apt-get update && sudo apt-get dist-upgrade
并在之后重新启动计算机。
hee*_*ayl 16
只是补充@kos 的好答案:
Perception Point 的研究人员发现了零日漏洞 (CVE-2016-0728) 。
它是在 3.8 Vanilla Kernel 中引入的。因此,使用内核版本 3.8 或更高版本的 Ubuntu 版本很容易受到攻击。正如@kos 已经提到的,在受支持的版本上,您只需升级内核即可安装补丁:
sudo apt-get update && sudo apt-get dist-upgrade
如何检查漏洞(取自此处):
安装libkeyutils-dev:
sudo apt-get install libkeyutils-dev
从 github复制这个C 程序,由 Perception Point 团队编写以测试漏洞利用。
将代码保存在一个文件中,例如test_2016_0728.c并编译:
gcc test_2016_0728.c -o test_2016_0728 -lkeyutils -Wall
以普通用户身份运行编译后的程序:
./test_2016_0728 -PP1
这将需要一些时间,如果您的内核在程序完成后易受攻击,您将看到您的权限已升级,即您已成为root.
| 归档时间: |
|
| 查看次数: |
5382 次 |
| 最近记录: |