Zero
Jann Corno, il Progetto di Google Zero ricercatore che ha scoperto la crisi e lo Spettro della CPU difetti, ha un paio di parole per manutentori di Ubuntu e Debian: aumentare il vostro gioco la fusione di kernel fix di sicurezza, si sta lasciando gli utenti esposti per settimane.
Corno all’inizio di questa settimana ha rilasciato un “brutto sfruttare” per Ubuntu 18.04, che “richiede circa un’ora per eseguire prima di popping in una shell di root”.
Il bug del kernel è un invalidazione della cache difetto in Linux la gestione della memoria che è stata contrassegnata come CVE-2018-17182, riferito al kernel di Linux manutentori, il 12 settembre.
Linux fondatore Linus Torvalds fisso nel suo kernel albero di due settimane fa, un incredibilmente veloce solo giorno dopo Corno segnalato il problema. E in pochi giorni è stato anche risolto a monte stabile versioni del kernel 4.18.9, 4.14.71, 4.9.128, e 4.4.157. C’è anche un fix release 3.16.58.
Ma Corno sottolinea che alcune distribuzioni di Linux sono gli utenti che lasciano esposti a potenziali attacchi non reagire abbastanza velocemente e frequentemente aggiornato a monte stabile versioni del kernel.
Non appena la patch è adottato nel kernel, la patch è pubblico, e a questo punto un utente malintenzionato potrebbe utilizzare per sviluppare un exploit, un Corno, spiega.
Tuttavia, gli utenti finali delle varie distribuzioni di Linux non sono protetti fino a che ogni distribuzione unisce le modifiche da monte stabile del kernel, e quindi gli utenti di installare la versione aggiornata.
Tra questi due punti, il problema viene, inoltre, l’esposizione sulla mailing list pubbliche, dando entrambe le distribuzioni Linux e attaccanti la possibilità di prendere azione.
“Il problema di sicurezza è stato annunciato su oss-security mailing list su 2018-09-18, con un CVE assegnazione in 2018-09-19, rendendo indispensabile la nave di distribuzione nuovo kernel per gli utenti più chiara,” Corno scritto in un Progetto Zero post pubblicato mercoledì.
Ma come ha fatto notare, come di mercoledì, in stabile di Debian e Ubuntu rilascia 16,04 e 18.04 non aveva risolto il problema, con l’ultimo aggiornamento del kernel che si verificano circa un mese prima. Questo significa che c’è un gap di diverse settimane tra il difetto di essere divulgata pubblicamente e correzioni di raggiungere gli utenti finali.
“Debian stable navi un kernel basato su 4.9, ma 2018-09-26, questo kernel è stato aggiornato l’ultima volta 2018-08-21. Allo stesso modo, Ubuntu 16.04 navi un kernel che è stato aggiornato l’ultima volta 2018-08-27. Android viene fornito solo gli aggiornamenti di sicurezza una volta al mese”, ha osservato.
“Quindi, quando un titolo-critical fix è disponibile a monte kernel stabile, può ancora richiedere settimane prima che il fix è in realtà disponibile per gli utenti-soprattutto se l’impatto in termini di sicurezza non è stata annunciata pubblicamente.”
Tuttavia, il Fedora project è stato un po ‘ più veloce, spingendo un fix per gli utenti il 22 settembre.
Canonical, la società BRITANNICA che gestisce Ubuntu, ha risposto a Corno di blog, e dice correzioni “che devono essere rilasciati” in giro per lunedì 1 ottobre.
Questo è improbabile che sia l’ultimo kernel bug Project Zero i ricercatori a trovare, e a meno che Ubuntu e altre distribuzioni Linux, ottenere il loro agire insieme su un kernel correzioni, si può aspettare di essere chiamato e di vergogna, di nuovo.
“La correzione timeline mostra che il kernel è un approccio alla gestione della grave bug di sicurezza è molto efficace rapidamente atterraggio correzioni in git master albero, ma lascia una finestra di esposizione tra il tempo a monte fix è pubblicato e il tempo che il fix in realtà diventa disponibile per gli utenti-e questa finestra di tempo è sufficientemente grande che un exploit del kernel potrebbe essere scritto da un utente malintenzionato nel frattempo”, ha scritto il Corno.
Precedente e relativa copertura
Cisco: Linux kernel FragmentSmack bug colpisce 88 dei nostri prodotti
Cisco elenco di prodotti con un kernel Linux di tipo denial-of-service difetto è in crescita.
Linux su Windows 10: Ubuntu Vm appena ricevuto molto più facile, dice Microsoft
Ubuntu macchine virtuali possono ora essere lanciato da Hyper-V Rapido Creare e utilizzare il protocollo RDP per l’avanzata modalità di sessione.
Che cosa succede se si tenta di prendere il vostro codice di Linux?
Linux-esperto di esperti giuridici del passato e del presente pesare su questo nodoso, open-source licensing materia.
Nuovo di Linux, Mutageno di Astronomia’ falla di sicurezza impatti Red Hat e CentOS distribuzioni
Team di Red Hat fornisce le attenuazioni, promette aggiornamenti del kernel.
Windows 10 imprese clienti potranno ora avere Linux come supporto
Cedendo alle pressioni da amministratori enterprise, Microsoft ha esteso la sua Windows 10 ciclo di supporto, ancora una volta. Gli annunci di oggi effettivamente creare un Linux come Supporto a Lungo Termine, la versione per i clienti che pagano per le imprese gli aggiornamenti.
Anche Linus Torvalds non capire completamente il kernel di Linux
In un’ampia intervista all’Open Source Vertice, Torvalds ha parlato di programmatori, Linux e open-source di sviluppo.
Linus Torvalds Linux e Codice di Condotta: 7 miti sgonfiati
No, protestano i programmatori non sono la rimozione di codice di Linux, non ci sono epurazioni di politicamente scorretto degli sviluppatori del kernel Linux. Linus Torvalds è di ritorno.
Come installare Windows 10 in una VM su una macchina Linux TechRepublic
Informazioni su come installare Windows 10 su computer Linux utilizzando il bundle di licenza su un preassemblato sistemi, e ottenere suggerimenti su come ridurre la quantità di risorse di sistema di Windows utilizza.
Come scegliere una distro Linux per il vostro vecchio PC CNET
Cercando di resuscitare o trasformare un computer portatile o desktop? Ci sono un sacco di versioni di Linux tra cui scegliere, tutti gratuiti (e impressionante). Ecco come decidere quale è giusto per te.
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0