Nul
Jann Horn, Google Project Zero forsker, der opdagede den Nedsmeltning, og Spectre CPU-fejl, har et par ord til vedligeholderne af Ubuntu og Debian: løft dit spil til fletning af kerne sikkerhedsrettelser, du forlader brugere udsættes for uger.
Horn tidligere i denne uge udgivet en “grim udnytte” for Ubuntu 18.04, som “tager cirka en time at køre, før der dukker en root-shell”.
Kernen bug er en cache ugyldiggørelse fejl i Linux styring af hukommelse, som er blevet mærket som CVE-2018-17182, rapporterede, at Linux-kernen vedligeholdere på September 12.
Linux grundlægger, Linus Torvalds, fastsættes det i sin primære kerne-træ for to uger siden, en imponerende hurtig enkelt dag efter Horn rapporterede problemet. Og indenfor få dage blev det også rettet i den opstrøms stabil kerne udgivelser 4.18.9, 4.14.71, 4.9.128, og 4.4.157. Der er også et fix i version 3.16.58.
Men Horn påpeger, at nogle Linux-distributioner, der forlader brugere udsættes for potentielle angreb ved ikke at reagere hurtigt nok til hyppigt opdaterede opstrøms stabil kerne udgivelser.
Så snart patch er vedtaget i den primære kerne, patch er gjort offentlige, og på dette punkt en hacker kan bruge det til at udvikle en exploit, Horn forklarer.
Men de endelige brugere af Linux-distributioner, der ikke er beskyttet, indtil hver distribution fusionerer de ændringer, der fra opstrøms stabile kerner, og så brugere at installere opdateret udgave.
Mellem disse to punkter, er spørgsmålet også får eksponering på de offentlige postlister, der giver både Linux-distributioner og ville-være angribere mulighed for at gribe ind.
“Det sikkerhedsproblem, der blev annonceret på oss-sikkerhed postliste på 2018-09-18, med et CVE-tildeling på 2018-09-19, hvilket gør behovet for at udsende nye distribution kerner til brugere klarere,” Horn skrev i et Projekt, Nul post offentliggjorde onsdag.
Men som han bemærkede, som onsdag, Debian stable og Ubuntu releases 16.04 og 18.04 havde ikke løst problemet, med den nyeste kernel opdatering sker omkring en måned tidligere. Dette betyder, at der er en forskel på flere uger mellem fejl bliver offentligt kendt, og løser nå slutbrugerne.
“Debian stable skibe, en kerne, der er baseret på 4.9, men som af 2018-09-26, denne kerne blev sidst opdateret 2018-08-21. På samme måde, Ubuntu 16.04 skibe, en kerne, der blev sidst opdateret 2018-08-27. Android kun skibe sikkerhed opdateringer en gang om måneden,” bemærkede han.
“Derfor, når en sikkerheds-kritiske fix er til rådighed i et tidligere stabil kerne, kan det stadig tage uger, før rettelsen er faktisk til rådighed for brugerne-især hvis de sikkerhedsmæssige konsekvenser ikke er offentliggjort.”
Men Fedora-projektet var en lille smule hurtigere, skubber et fix for brugere på 22 September.
Canonical, at det BRITISKE selskab, der fastholder Ubuntu, har siden reageret på Horn ‘ s blog, og siger rettelser “frigives” omkring mandag, oktober 1.
Det er usandsynligt, at de sidste kernel bug Project Zero finde forskere, og medmindre Ubuntu og andre Linux-distributioner få deres handling sammen på primære kerne rettelser, kan de forvente at blive navngivet og skam igen.
“Fix tidslinjen viser, at kernen’ s tilgang til håndtering af alvorlige sikkerhedsfejl, er meget effektive til at hurtigt landing rettelser i git-master træet, men efterlader et vindue af eksponering mellem det tidspunkt, en upstream-fix er udgivet, og den tid, de fix, der faktisk bliver tilgængelig for brugere, — og denne tidsramme, der er tilstrækkelig stor til, at en kerne udnytte kunne være skrevet af en angriber i mellemtiden,” skrev Horn.
Tidligere og relaterede dækning
Cisco: Linux-kernen FragmentSmack bug nu påvirker 88 af vores produkter
Cisco ‘ s liste over produkter med en Linux-kerne denial-of-service-svaghed er voksende.
Linux-og Windows-10: Kører Ubuntu Fos er lige blevet meget nemmere, siger Microsoft
Ubuntu VMs kan nu blive lanceret fra Hyper-V Opret Hurtigt og bruger RDP for øget sessionstilstand.
Hvad sker der, hvis du forsøger at tage din kode ud af Linux?
Linux-kyndige juridiske eksperter fra fortid og nutid vejer på dette knudrede, open source licenser spørgsmål.
Nye Linux ‘Mutagen Astronomi’ sikkerhedshul virkninger Red Hat og CentOS-distributioner
Red Hat team giver afhjælpninger, løfter kerne opdateringer.
Windows 10 Virksomhedens kunder vil nu få Linux-lignende støtte,
Bøjer sig for pres fra virksomhedens administratorer, Microsoft har udvidet sin Windows-10 support-cyklus endnu en gang. Dagens meddelelser effektivt at skabe et Linux-lignende Long Term Support-version til kunder, der betaler for Virksomheden opgraderinger.
Selv Linus Torvalds ikke helt forstår Linux-kernen
I et omfattende interview på Open Source-Topmødet, Torvalds talte om programmører, Linux, og open-source-udvikling.
Linus Torvalds og Linux Code of Conduct: 7 myter debunked
Ingen, der protesterer programmører er ikke at fjerne koden fra Linux, og der er ingen udrensninger af politisk ukorrekte Linux-kerne-udviklere. Og Linus Torvalds er på vej tilbage.
Sådan installeres Windows 10 i en VM på en Linux-maskine TechRepublic
Lær, hvordan du installerer Windows 10 på din Linux-maskine ved hjælp af den medfølgende licens nøgle på formonteret systemer, og få tips til, hvordan man kan reducere mængden af systemressourcer bruger Windows.
Hvordan til at vælge en Linux distro for din gamle PC CNET
Søger at genoplive eller omdanne en bærbar eller stationær? Der er masser af versioner af Linux til i stedet at vælge imellem, alle af dem gratis (og fantastisk). Her er hvordan til at beslutte, hvilken en er det rigtige for dig.
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0