LINUX.ORG.RU
ФорумTalks

Исправлен бекдор в ядре

 ,


1

2

В ядре Linux исправлена опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP. При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.

Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL, SuSE, Debian, Ubuntu.

В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:

 iptables -t raw -I PREROUTING -p dccp -j NOTRACK
    iptables -t raw -I OUTPUT -p dccp -j NOTRACK

Взято с opennet http://www.opennet.ru/opennews/art.shtml?num=39355

Нет слов1

Ответ на: комментарий от Stahl

Виноват. Моя невнимательность.

А где, кстати, пруф на исправление? Ссылки тут и в предыдущем топике идентичные.

feofan ★★★★★
()
Последнее исправление: feofan (всего исправлений: 1)

Freiheits-Sender ★★ постер крионовостей

AX ★★★★★
()
Ответ на: комментарий от feofan

А вроде как и нет еще исправления.. будут следующие релизы, в них наверное и войдет. Патчь есть, но, по крайней мере, в 3.13.6 его нет. Хотя даты в патче, вроде как январь.. тестят наверное..

Я правильно понимаю, попользовать данную уязвимость можно только изнутри ната? Т.е. чтобы модуль подгрузился, надо послать этот неведомый DCCP пакет с серого адреса?

naszar
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.