แจ้งเตือนบั๊กร้ายแรง CVE-2014-0196 ในลินุกซ์เคอร์เนล กระทบในวงกว้าง

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 13 พฤษภาคม 2014.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    Marcus Meissner ได้ค้นพบบั๊กที่ส่งผลให้ผู้ใช้งานสามารถทำการ DoS และขโมยสิทธิ์ของผู้ดูแลระบบในระบบปฏิบัติการบนพื้นฐานของลินุกซ์เคอร์เนลได้ โดยเชื่อกันว่านี่นับเป็นอีกหนึ่งช่องโหว่ที่อยู่ในระดับอันตรายอีกหนึ่งช่องโหว่นับตั้งแต่ช่องโหว่ perf_events (CVE-2013-2049) เป็นต้นมา

    ช่องโหว่ CVE-2014-0196 เกิดจากปัญหาของฟังก์ชัน n_tty_write ที่ใช้ในการควบคุมการทำงานของ pty เมื่อโปรเซสหรือเธรดตั้งแต่สองตัวขึ้นไปทำการเขียนลงใน pty เดียวกันจะทำให้เกิดการเขียนทับของข้อมูลและล้นไปยังบัฟเฟอร์ที่อยู่ใกล้เคียง ช่องโหว่นี้ส่งผลกระทบตั้งแต่เคอร์เนลในรุ่น 2.6.31-rc3 ที่ถูกปล่อยในปี 2009

    ในขณะนี้ทางกลุ่มผู้ดูแลเคอร์เนลได้มีการแก้ไขปัญหานี้แล้ว พร้อมๆ กับแพตซ์ในส่วนของกลุ่ม Ubuntu สำหรับฝั่งของ RHEL นั้นได้รับการยืนยันว่า RHEL5 ไม่พบช่องโหว่นี้และแพตซ์สำหรับ RHEL6 รวมไปถึง Red Hat Enterprise MRG 2 กำลังจะมาเร็วๆ นี้ และนี่คือสถานะจากฝั่ง Debain ครับ

    ที่มา - Ars Technica

    Kernel, Linux, Security
     

แบ่งปันหน้านี้