[Comm] Кто что думает про это?? Есть заплатки?

=?iso-8859-1?q?support_=CE=C1_planetashop=2Eru?= =?iso-8859-1?q?support_=CE=C1_planetashop=2Eru?=
Вт Дек 2 18:22:44 MSK 2003


В ядре Linux обнаружена критическая уязвимость

Специалисты по компьютерной безопасности предупреждают о новой критической
уязвимости, обнаруженной в ядре Linux. Ошибка кода позволяет любому получить
полный доступ к системе удаленного компьютера. Неизвестный взломщик
воспользовался этим для атаки на сервера проекта Debian, что и привело к
обнаружению дыры.


Этот факт имеет огромное значения для всех пользователей ОС - поскольку
уязвимость находится в ядре, открытыми для нападения являются пользователи
любых дистрибутивов Linux. Многие компании, распространяющие ОС, уже
подтвердили наличие ошибки в их системах. Ошибка присутствует в коде ядра,
начиная с версии 2.4.0 и до 2.5.69, но отсутствует в релизах 2.4.23-pre7 и
2.6.0-test6.


Сама уязвимость заключается в переполнении целочисленного значения в
системном вызове brk( ), который отвечает за управление памятью. Когда
запрос вызывает функцию do_brk( ), используя переменные адреса и длины,
поставляемые пользователем, вызов не проверяет переменные на переполнение.

Согласно анализу специалистов компании Symantec, эта уязвимость позволяет
любому пользователю, имеющему ssh-доступ к системе, обрести привилегии root,
что позволяет выполнить практически любую операцию на машине.


Основные поставщики дистрибутивов Linux разместили на своих сайтах
предупреждения для пользователей и заплатки для ядра. По информации от
Symantec, код, позволивший неизвестному хакеру атаковать сервера проекта
Debian, свободно распространяется в хакерской среде.


Источник: по материалам The Inquirer.




Подробная информация о списке рассылки community