گزارش یك نقص جدید
توسعه نرم افزار: یك صدمه پذیری از ماه آگوست ۲۰۱۴ با نسخه ۳، ۱۶ كرنل لینوكس پا به عرصه ظهور گذاشت كه از آن می توان برای حملات DoS یا اجرای كد مورد نظر با دسترسی سطح مدیر در سیستم صدمه دیده استفاده نمود.
به گزارش توسعه نرم افزار به نقل از ایسنا، در گزارش منتشره توسط گروه Google Project Zero جزئیاتی از صدمه پذیری use-after-free با شناسه CVE-۲۰۱۸-۱۷۱۱۹۲ در كرنل لینوكس عرضه شده است.
تیم توسعه دهنده كرنل لینوكس بعد از دریافت گزارش این نقص، آن را پس از دو روز حل كرده اند.
پژوهشگران كد اثبات مفهومی (PoC) برای این صدمه پذیری عرضه داده و اعلام نموده اند كه جهت استفاده از این نقص نیاز به زمان بالایی است و فرایندهایی كه منجر به این صدمه پذیری می شوند، لازم است مدت زمان طولانی اجرا شوند.
اما پژوهشگران به تازگی اخطار داده اند كه احتمال این وجود دارد كه مهاجمان در تلاش جهت استفاده از این صدمه پذیری باشند و نگرانی از اینجا ناشی می گردد كه توسعه دهندگان توزیع های لینوكس به روزرسانی های كرنل را خیلی سریع ارائه نمی دهند كه این امر می تواند كاربران را در معرض حمله قرار دهد. از این رو پیكربندی یك كرنل امن از اهمیت ویژه ای برخوردار می باشد و برخی تنظیمات نظیر kernel.dmesg_restrict می تواند مفید باشد.
درحال حاضر در نسخه های ۴، ۱۸.۹، ۴.۱۴.۷۱، ۴.۹.۱۲۸، ۴.۴.۱۵۷ و ۳.۱۶.۵۸ این نقص برطرف شده است.
مطلب توسعه نرم افزار را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط در DevSoft
نظرات بینندگان DevSoft در مورد این مطلب