Af Torben B. Sørensen, 29/09/17
Flere Linux-distributioner har en sårbarhed, som angribere kan udnytte til at opnå øgede privilegier.
Sårbarheden ligger i indlæsningen af programmer, der er gemt som Position Independent Executable (PIE). Når programmet indlæses, kan dele af de placeres i hukommelsesområder, der er reserveret til stakken.
Fejlen blev rettet i 2015, men den blev dengang ikke set som et sikkerhedsproblem. Derfor findes den i flere Linux-distributioner, heriblandt CentOS, Red Hat og Debian.
Sårbarheden har en CVSS-score (Common Vulnerability Scoring System) på 7,8.
Anbefaling
Opdater berørte Linux-varianter.
Links
- Qualys Security Advisory: Linux PIE/stack corruption (CVE-2017-1000253)
- Patch alert! Easy-to-exploit flaw in Linux kernel rated 'high risk', artikel fra The Register
- Two-Year Old Vulnerability Patched in Linux Kernel, artikel fra SecurityWeek
- Linux Kernel Bug Reclassified as Security Issue After Two Years, artikel fra Bleeping Computer