LINUX.ORG.RU

Критические уязвимости в ядре Linux

 , ,


0

1

Исследователями было обнаружено сразу несколько критических уязвимостей ядра Linux:

  • Переполнение буфера в серверной части сети virtio в ядре Linux, которое может быть использовано для вызова отказа в обслуживании или выполнения кода на хостовой ОС. CVE-2019-14835

  • Ядро ​​Linux, работающее на архитектуре PowerPC, не обрабатывает должным образом исключения Facility Unavailable в некоторых ситуациях. Эта уязвимость может быть использована локальным злоумышленником для раскрытия конфиденциальной информации. CVE-2019-15030

  • Ядро ​​Linux, работающее на архитектуре PowerPC, в определенных ситуациях неправильно обрабатывает исключения при прерываниях. Эта уязвимость также может быть использована для раскрытия конфиденциальной информации. CVE-2019-15031

Обновление безопасности уже вышло. Оно касается пользователей Ubuntu 19.04, Ubuntu 18.04 LTS и Ubuntu 16.04 LTS.

>>> Подробности

anonymous

Проверено: Shaman007 ()

это прям в ядре, или патчах убунты?

InterVi ★★★ ()

Переполнение буфера в серверной части сети virtio в ядре Linux, которое может быть использовано для вызова отказа в обслуживании или выполнения кода на хостовой ОС.

ибием в красной шляпе пишет , что только во время живой миграции.

anonymous ()

Точно PowerPC? Которое из Маков G4-G5? На базе Power4?

dv76 ★★★★ ()

Поверписи и линукс - это как натягивать трусы на голову на детском утреннике.

anonymous ()
Ответ на: комментарий от anonymous

Но ведь родители этих детсадовцев - уважаемые и богатые люди...

anonymous ()

Этих уязвимостей находят по несколько штук в месяц. Зачем сюда тащить?

deadplace ()

... Филипп Гюнтер (Philip Guenther) на основании слухов подготовил и добавил в OpenBSD патч, который, как выяснилось позднее, действительно исправлял уязвимость...

sunjob ★★★ ()

а это уже починили? А то как-то не слежу ".. В Systemd нашли дыру, которая позволяет дистанционно обрушить систему, а в некоторых случаях и выполнить произвольный код. Дыра найдена в одном из компонентов — в systemd-resolved (Network Name Resolution manager). Сервис берет сетевое имя и возвращает IP. Казалось бы, при чем тут система инициализации? Если злоумышленник подсунет специально подготовленное имя, то в функции dns_packet_new произойдет переполнение буфера. Дальше как повезет: либо система упадет, либо подтянут на систему руткит."(с) правда новостишка - 17го года.

anonymous ()

Очередная уязвимость в ядре Linux. Впрочем, ничего нового.

Nibbler ()
Ответ на: комментарий от yuran

Есть у меня iBook (Blueberry) со 196 МБ памяти (в оригинале было 64 МБ, но пришлось увеличить для OS X 10.1). Так что это и меня касается.

anonymous ()

в каких версиях ядра исправлено?

кого вообще колышит Ubuntu ?

Slackware_user ★★★★★ ()
Ответ на: комментарий от fidaj

а не из металлолома что-то есть?

Ну вроде чуть поновее — PlayStation 3, Xbox 360, Wii, WiiU.

Zombieff ★★ ()

А больше ни в каких дистрибутивах нету, да?

Это пиар установки убунты на сервер такой?

Алсо добавьте версию ядра с заплаткой в новость.

trynoval ()

Про патч для RHEL почему не написал? По ссылке на CVE-2019-14835 есть ссылки на портал RH с информацией по этой уязвимости.

CaveRat ★★ ()
Ответ на: комментарий от shkolnick-kun

A buffer overflow flaw was found, in versions from 2.6.34 to 5.2.x, in the way Linux kernel's vhost functionality that translates virtqueue buffers to IOVs, logged the buffer descriptors during migration.

Это что касается CVE-2019-14835. Уязвимость в модуле ядра, должно затрагивать все дистрибутивы, где этот модуль есть.

Уязвимости, связанные с PPC тоже в ядре живут, вроде как все до 5.2.14 затронуто. Заплатки в ядро для них уже есть.

PS Сам не тестил, сорян.

CaveRat ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.