[devel] CVE-2010-3847 on FD
Vladimir Lettiev
thecrux на gmail.com
Пн Окт 18 14:15:23 UTC 2010
On Mon, Oct 18, 2010 at 04:25:56PM +0300, Michael Shigorin wrote:
> On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote:
> > > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> > > исправлен в корне более 9 лет назад, однако апстрим отказался принять
> > > эти изменения. Этот конкретный апстрим извращённо консервативен.
> > CVE-2010-3847 опубликовали на Full Disclosure:
> > http://seclists.org/fulldisclosure/2010/Oct/257
>
> Спасибо, Дима.
Некоторые пошли по другому пути: блокируют возможность использовать
технику, необходимую для exploit'а:
http://lwn.net/Articles/393012/
В частности опция SECURITY_YAMA_HARDLINKS=y не даёт создавать жёсткие
ссылки на объекты, на которые пользователь не имеет права чтения и записи
--
Vladimir Lettiev aka crux ✉ theCrux на gmail.com
Подробная информация о списке рассылки Devel