Your browser does not support JavaScript!
:::
[106/12/04] Linux重大漏洞Dirty COW修補不完全,再補一次!

資料來源:iThome

原始網址:https://www.ithome.com.tw/news/118990

 

Linux重大漏洞Dirty COW修補不完全,再補一次! 在Linux重大安全漏洞—Dirty COW(CVE-2016–5195)被修補的一年之後,資安業者Bindecy發現該修補程式並不完全,使得Linux核心的首席開發人員Linus Torvalds上周再修補了一次,不過這次的問題並未波及Android平台。

 

Bindecy著手研究Dirty COW漏洞是因它為Linux史上最重要的漏洞之一,幾乎殃及了所有的Linux版本,從Android、桌面平台到伺服器版本無一倖免,坊間有很多關於該漏洞的消息,卻顯少有人詳究修補程式。

 

結果Bindecy發現Dirty COW的修補程式並不完整,當Linux核心的記憶體子系統在處理唯讀巨大頁面(Huge Pages)的寫時拷貝(copy-on-write,COW)時,仍會出現競爭狀況,將讓非授權用戶獲得唯讀記憶體對應關係的寫入權限,並修改唯讀頁面,可影響應用程式的表現。

 

此一新漏洞的編號為CVE-2017-1000405,Bindecy則將該漏洞稱為Huge Dirty COW。 不過,Huge Dirty COW的嚴重性並不如Dirty COW,所波及的Linux版本也少了一些。

 

例如Android與Red Hat Enterprise Linux未受到Huge Dirty COW的摧殘,但其他諸如Ubuntu、Fedora、SUSE等Linux版本則必須展開修補。

瀏覽數