В ядре Linux исправлена критическая уязвимость

Уязвимость в ядре Linux, имеющая идентификатор CVE-2016-10229, дает возможность хакерам заполучить контроль над системой — персональным компьютером, сервером или смартфоном. Эта уязвимость опасна для версий ядра Linux до 4.5.

Чем она опасна? Злоумышленники могут удаленно выполнить произвольный код с помощью UDP-трафика, инициирующего небезопасное второе вычисление контрольной суммы во время выполнения системного вызова recv() с флагом MSG_PEEK.

Другими словами, атакующие могут отправить жертве особым образом сконфигурированные пакеты, позволяющие использовать уязвимость, запустив вторую операцию по вычислению контрольной суммы. Таким образом можно выполнить код в ядре с привилегиями суперпользователя.

Эта уязвимость обнаружена сравнительно давно. Еще в 2015 году исследователь безопасности Эрик Думазет нашел проблему в ядре. С февраля 2017 года Ubuntu и Debian распространяются с исправлением ядра. А Google, в свою очередь, выпустила исправление для Android.

Представители Red Hat утверждают, что эта уязвимость их дистрибутив никогда не затрагивала.

Источник http://www.securitylab.ru/

Метки: Linux | безопасность | проблемы безопасности | уязвимость

Статьи по теме: