[devel] CVE-2010-3847 on FD

Vladimir Lettiev thecrux на gmail.com
Пн Окт 18 14:15:23 UTC 2010


On Mon, Oct 18, 2010 at 04:25:56PM +0300, Michael Shigorin wrote:
> On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote:
> > > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> > > исправлен в корне более 9 лет назад, однако апстрим отказался принять
> > > эти изменения.  Этот конкретный апстрим извращённо консервативен.
> > CVE-2010-3847 опубликовали на Full Disclosure:
> > http://seclists.org/fulldisclosure/2010/Oct/257 
> 
> Спасибо, Дима.

Некоторые пошли по другому пути: блокируют возможность использовать
технику, необходимую для exploit'а:

http://lwn.net/Articles/393012/

В частности опция SECURITY_YAMA_HARDLINKS=y не даёт создавать жёсткие
ссылки на объекты, на которые пользователь не имеет права чтения и записи

-- 
Vladimir Lettiev aka crux ✉ theCrux на gmail.com


Подробная информация о списке рассылки Devel