LINUX.ORG.RU

В Linux зафиксирована уязвимость CVE-2016-5195

 , ,


4

3

В ядре Linux обнаружена уязвимость, позволяющая повысить привилегии локального пользователя.

Причина уязвимости — race condition («состояние гонки») при обработке подсистемой управления памяти copy-on-write операций для частных маппингов памяти, доступной только для чтения. Непривилегированный пользователь может воспользоваться этим для повышения своих привилегий и получения возможности записи в память, размеченную только для чтения.

Патч, устраняющий уязвимость, просуществовавшую в ядре девять лет (начиная с Linux 2.6.22), уже представлен.

>>> Подробности

★★

Проверено: Shaman007 ()
Последнее исправление: sudopacman (всего исправлений: 2)

Новость хорошая. На винде наверняка 10 таких уязвимостей с версии 3.1, и закрывать никто не собирается. Слава OpenSource!

anonymous
()

Линукс безопасен, антивирус и проактивная защита не нужна говорили они.

anonymous
()
Ответ на: комментарий от anonymous

Линукс безопасен, антивирус и проактивная защита не нужна говорили они.

Мне просто интересно: как антивирус поможет избежать дыры в ядре?

kirk_johnson ★☆
()

Только хотел попробовать, а тут это

Am I affected by the bug?

Yes.

loz ★★★★★
()

Кстати, значит ли это что винда которая умеет запускать линукс внутри будет подвержена не только своим, но и линуксячьим уязвимостям?

loz ★★★★★
()
Ответ на: комментарий от loz

Я так понял, это говно не вылезает за пределы своего индюшатника. Так что вряд ли. Эдакий wine наоборот.

anonymous
()

Shaman007, как только увидел предрелиз 4.8.3, сразу вспомнил, о чём говорил Олег :). Stable на 4 патча просто так никто не выпускает.

post-factum ★★★★★
()
Ответ на: комментарий от darkenshvein

ждём исправления в подсистеме windows10 for linux через пару-тройку годиков!

Можешь не ждать, там ядро Linux не используется.

anonymous
()
Ответ на: комментарий от anonymous

Линукс безопасен, антивирус и проактивная защита не нужна говорили они.

При данной уязвимости они всё равно не помогут.

rezedent12 ☆☆☆
()
Ответ на: комментарий от rezedent12

Ну он же так усердно поливает грязью любого, допустившего хоть малейшую оплошность. А в ЕГО коде находят дыры федерального масштаба по несколько раз в год.

unt1tled ★★★★
()
Ответ на: комментарий от unt1tled

Ну он же так усердно поливает грязью любого, допустившего хоть малейшую оплошность. А в ЕГО коде находят дыры федерального масштаба по несколько раз в год.

Он поливает грязью за откровенно идиотский код. За баги он не поливает.

kirk_johnson ★☆
()
Ответ на: комментарий от unt1tled

Интересно, Торвальдс хотя бы краснеет, когда такие новости выходят?

А что, есть примеры безошибочного написания подобных проектов?

Erepb ★★★
()

Так, срочный вопрос.

Уязвимость можно эксплуатировать если только у злоумышленника есть нерутовая учётка на серваке, так?

iljuase ★★★
()

Господи! Сколько же ещё таких неизвестных дырок в этом нашем линуксе, которые бесстыдно используют хакиры из кровавого АНБ?

user42 ★★
()
Ответ на: комментарий от user42

Господи! Сколько же ещё таких неизвестных дырок в этом нашем линуксе, которые бесстыдно используют хакиры из кровавого АНБ?

меньше чем в виндовс

voltmod ★★
()
> uname -a
Linux rautalampi 4.8.3 #1 SMP PREEMPT Fri Oct 21 00:55:58 MSK 2016 x86_64 GNU/Linux
> sudo
bash: sudo: команда не найдена

Уязвимость устранена в выпусках ядра Linux 4.8.3, 4.7.9 и 4.4.26.

Уже не актуально.

saahriktu ★★★★★
()
Ответ на: комментарий от Deleted

Торвальдс пишет всем в рассылку, что они п-сы, а он Д'артаньян.

Типичный мир линукса. Один царь, остальные понос.

bookman900 ★★★★★
()

Is this an OpenSSL bug?

No.

Чудный сайт.

a1batross ★★★★★
()

Осталось самая малость - найти хостинг, админ которого держит на сервере gcc, и выписать этому админу премию Дарвина.

ntfs1984
()
Ответ на: комментарий от dk-

А после?)

Если у вас хостинг больше чем на 2.5 анонимуса, логичнее вообще для шелла поднимать отдельный сервак, и монтировать туда носитель с веб-контентом...А уже на нем никаких gcc, никаких sudo and so on

ntfs1984
()
Ответ на: комментарий от bookman900

Не вполне так...

К примеру, так: один - президент (глава фирмы), остальные - подчиненные.. :)

anonymous
()
Ответ на: комментарий от TheAnonymous

Хорошо хоть на аватаре у вас колеса не квадратные :)

anonymous
()

Проблема отмечена экспертами как одна из наиболее опасных уязвимостей в Linux, т.к. подтверждено наличие рабочего эксплоита. Уязвимость присутствует с 2007 года и проявляется в ядрах Linux, начиная с выпуска 2.6.22.

anonymous
()
Ответ на: комментарий от iljuase

Какие серваки? Что весь мир одними серваками живет? А в публичных заведениях вроде библиотек и универов итд...

LinuxDebian ★★★★
()
Ответ на: комментарий от ntfs1984

Зачем gcc? Собрал в статику и готово, там зависимостей то

false ★★★★★
()
Ответ на: комментарий от LinuxDebian

Почему? Если вдруг программа получила привилегии не через определенный механизм — убить ее и все...

И как ты это отследишь?

rezedent12 ☆☆☆
()
Ответ на: комментарий от slony

Ну и что, что не про винду новость? Весь этот сайт и линукс существуют по причине определенного к ней отношения.

Jayrome ★★★★★
()
Ответ на: комментарий от anonymous

Линукс безопасен, антивирус и проактивная защита не нужна говорили они.

Каким образом антивирус может спасти от уязвимости, о которой 10 лет никто не знал?

eugeno ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.