0

Säkerhetsexperter varnar för en bugg som kunde göra det möjligt för hackare att craft TCP-paket för att lura Linux initiering deamon systemd, vilket kan orsaka system att krascha eller göra dem köra skadlig kod.
Ubuntu tekokare Canonical har släppt en korrigeringsfil för problemet upptäcktes av Chris Coulson, som är en programvara ingenjör på företaget.
“En skadlig DNS-server kan utnyttja detta genom att svara med ett specialskrivet TCP nyttolast att lura systemd-lösas på att fördela en buffert som är för små, och därefter skriva godtyckliga data efter utgången av det”, säger Coulson skrev.
Felet, som identifierats som CVE-2017-9445, kan användas av en angripare utifrån att orsaka en överbelastning i daemon eller exekvera godtycklig kod, Canonical konstaterar i sin rådgivande.
Coulson, säger felet introducerades i systemd version 223 2015 och påverkar alla versioner genom att version 233.
Canonical har fått frågan “hög prioritet” och har utgivna korrigeringar för Ubuntu 17.04 och Ubuntu 16.10.
Systemd, som skapades av RedHat utvecklare, används också av flera andra Linux-distributioner, inklusive Debian Linux, openSUSE, och RedHat Fedora.
Debian-utvecklare notera att frågan inte påverkade Debian Wheezy och Jessie, medan Stretch och Buster är sårbara. Men i Stretch är fallet, frågan är anses “mindre” eftersom system-lösas är inte aktiverat som standard.
En forskare i januari upptäckte systemd version 232 innehöll ett fel som kan ge en lokal angripare root-åtkomst till berörda enheter.
0