Google Project Zero的网络安全研究人员发布了详细信息,并针对自内核版本3.16到4.18.8以来Linux内核中存在的高严重性漏洞的概念验证(PoC)漏洞利用。
由白帽黑客Jann Horn发现,内核漏洞(CVE-2018-17182)是Linux内存管理子系统中的缓存失效错误,导致释放后使用漏洞,如果被利用,可能允许攻击者获得root权限目标系统上的特权。UAF漏洞是一类内存损坏错误,非特权用户可利用这些错误来破坏或更改内存中的数据,从而导致拒绝服务(系统崩溃)或升级权限以获得管理权限访问系统。
但是,霍恩表示,他的PoC Linux内核漏洞利用对公众开放“在弹出root shell之前需要大约一个小时才能运行。”Horn负责任地报告了9月12日Linux内核维护者的漏洞,Linux团队在短短两天内就将问题解决了他的上游内核树,Horn表示“与其他软件供应商的修复时间相比,速度非常快”。
Linux内核漏洞于9月18日在oss-security邮件列表中公开,并在第二天在上游支持的稳定内核版本4.18.9,4.14.71,4.9.128和4.4.157中进行了修补。在3.16.58版本中也有一个修复程序。
Debian和Ubuntu Linux让用户最容易受到攻击
研究人员感到很失望,因为他们知道包括Debian和Ubuntu在内的一些主要Linux发行版在漏洞被公开后一周多一段时间内未发布内核更新,从而使用户面临潜在的攻击。截至周三,Debian stable和Ubuntu发布的16.04和18.04都没有修补漏洞。
但是,Fedora项目已于9月22日向其用户推出了一个安全补丁。
“Debian stable基于4.9发布内核,但截至2018-09-26,该内核最后更新时间为2018-08-21。同样,Ubuntu 16.04发布的内核最后更新时间为2018-08-27,”Horn指出。
“Android每月只发布一次安全更新。因此,当上游稳定内核中提供安全关键修复程序时,用户实际可以使用修复程序仍需要数周时间,特别是如果安全影响未公开发布。 “
在回应Horn的博客文章时,Ubuntu的维护人员表示公司可能会在2018年10月1日左右发布针对Linux内核漏洞的补丁.Horn表示,一旦补丁部署在上游内核中,漏洞和补丁就会公开在这种情况下,它可以允许恶意行为者为目标用户开发Linux内核漏洞。