Noll
Jann Horn, Google Project Zero forskare som upptäckte Härdsmälta och Spectre CPU brister, har några ord för utvecklare av Ubuntu och Debian: ta upp ditt spel på en sammanslagning av kärnan säkerhet fixar du lämnar användare som utsätts för veckor.
Horn tidigare i veckan släppt en “ful utnyttja” för Ubuntu 18.04, som “tar ca en timme att köra innan poppar en root shell”.
Kärnan bugg är en cache ogiltigförklaring fel i Linux-memory management som har varit märkt som CVE-2018-17182, rapporteras till Linux-kernel utvecklarna den 12 September.
Linux grundare Linus Torvalds fast det i hans tidigare kärnan träd för två veckor sedan, en imponerande snabb enda dag efter Horn rapporterade problemet. Och inom några dagar var det också fast i den uppströms stabil kärna släpper 4.18.9, 4.14.71, 4.9.128, och 4.4.157. Det finns också en fix release 3.16.58.
Men Horn påpekar att vissa Linux-distributioner lämnar användare som utsätts för potentiella attacker genom att inte reagera tillräckligt snabbt för att uppdateras ofta uppströms stabil kärna utgåvor.
Så snart som en patch är antagen i den tidigare kärnan, plåstret är offentligt, och på denna punkt en angripare skulle kunna utnyttja den för att utveckla en exploatering, Horn förklarar.
Men, slutanvändare av Linux-distributioner som inte är skyddade tills varje distribution sammanslagningar förändringar från uppströms stabila kärnor, och då användare installera den uppdaterade utgåvan.
Mellan dessa två punkter, den frågan får också exponering på publika e-postlistor, vilket ger både Linux-distributioner och skulle bli angripare en chans att vidta åtgärder.
“Säkerheten frågan var meddelade på oss-säkerhet-postlistan på 2018-09-18, med en CVE fördelning på 2018-09-19, vilket gör den behöver för att skicka nytt distributionssystem för kärnor till användare tydligare,” Horn skrev i ett Projekt Noll inlägget publicerades onsdag.
Men när han noterade, från och med onsdag, stabila Debian och Ubuntu släpper 16.04 och 18.04 hade inte fixat problemet, med den senaste uppdatering av kärnan inträffar omkring en månad tidigare. Detta innebär att det finns en lucka på flera veckor mellan fel att vara offentligt ut och fixar nå slutanvändare.
“Debians stabila fartyg en kärna bygger på 4.9, men som av 2018-09-26, denna kärna var senast uppdaterad 2018-08-21. På samma sätt, Ubuntu 16.04 fartyg en kärna som senast uppdaterad 2018-08-27. Android-endast fartyg uppdateringar en gång i månaden,” konstaterade han.
“Därför, när en säkerhets-kritiska fix är tillgängliga i ett tidigare stabil kärna, kan det fortfarande ta flera veckor innan den fix är faktiskt tillgänglig för användare-i synnerhet om säkerhet effekterna är inte offentligt.”
Dock Fedora project var lite snabbare, driver en fix för användare på 22 September.
Canonical, BRITTISKA företag som har Ubuntu, har sedan svarat för att Horn ‘ s blogg, och säger fixar “ska släppas” runt måndag, 1 oktober.
Det är osannolikt att den sista kärnan bugg Project Zero forskare att hitta, och om Ubuntu, och andra Linux distributioner få sina agera tillsammans på tidigare kärnan fixar, de kan förvänta sig att hängas ut igen.
“Fix tidslinje visar att kärnan s strategi för hantering av allvarliga säkerhetsproblem är mycket effektiv på att snabbt landar fixar i git-master träd, men lämnar fönstret i exponering mellan den tid som en överordnad fix är publicerad och den tid fix faktiskt blir tillgängliga för användarna — och den här gången fönstret är tillräckligt stort för att en kärna utnyttja kunde vara skriven av en angripare i tiden”, skrev Horn.
Tidigare och relaterade täckning
Cisco: Linux-kärnan FragmentSmack bugg nu påverkar 88 av våra produkter
Cisco: s lista över produkter med en Linux-kärna denial-of-service-fel är växande.
Linux på Windows-10: Kör Ubuntu VMs har precis fått en mycket enklare, säger Microsoft
Ubuntu VMs kan nu startas från Hyper-V Skapa Snabbt och använder RDP-för ökad session läge.
Vad händer om du försöker att ta din kod ut av Linux?
Linux-kunniga juridiska experter från tidigare och nuvarande väga in på det här knotiga, open-source licenser fråga.
Nya Linux “Mutagen Astronomi” säkerhetsbrist påverkan Red Hat och CentOS distributioner
Red Hat-teamet ger ut dem, lovar kärnan uppdateringar.
Windows 10 företagskunder kommer nu att få Linux-liknande stöd
Böjer sig för påtryckningar från företagets administratörer, Microsoft utvecklat Windows 10 stöd cykel ännu en gång. Dagens meddelanden på ett effektivt sätt skapa en Linux-som långsiktigt Stöd versionen för kunder som betalar för Företag uppgraderingar.
Även Linus Torvalds inte helt förstår Linux-kärnan
I en omfattande intervju på Öppen Källkod Toppmötet, Torvalds talat om programmerare, Linux och open-source utveckling.
Linus Torvalds och Linux Uppförandekod: 7 myter krossat
Nej, protesterar programmerare är inte att ta bort koden från Linux, det finns inga utrensningar av politiskt inkorrekt Linux kernel utvecklare. Och Linus Torvalds är på väg tillbaka.
Hur du installerar Windows-10 i ett VM på en Linux-maskin TechRepublic
Lär dig att installera Windows 10 på din Linux-maskin med hjälp av den medföljande licens nyckel på förmonterat system, och få tips på hur man kan minska den mängd systemresurser används i Windows.
Hur att välja en Linux-distro för din gamla PC CNET
Ser att återuppväcka eller förvandla en bärbar eller stationär? Det finns massor av versioner av Linux att välja mellan, alla av dem är gratis (och häftigt). Här är hur man kan avgöra vilken som är rätt för dig.
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0