Nul
Jann Hoorn, het Google-Project Zero onderzoeker die ontdekte dat de Crisis en de Spectre CPU gebreken, heeft een paar woorden voor beheerders van Ubuntu en Debian: het verhogen van uw spel op het samenvoegen van kernel security fixes, je bent het verlaten van de gebruikers blootgesteld weken.
Hoorn eerder deze week vrijgegeven over een “lelijke benutten” voor Ubuntu 18.04, die “duurt ongeveer een uur uitvoeren voordat popping een root shell”.
De kernel bug is een cache ongeldig verklaren fout in Linux beheer van het geheugen die zijn gelabeld als CVE-2018-17182, gemeld aan de beheerders van de Linux kernel op 12 September.
Linux-oprichter Linus Torvalds vast in zijn upstream kernel als twee weken geleden, een indrukwekkend snel één dag na Hoorn meldde het probleem. En binnen enkele dagen was het ook vast in de upstream stabiele kernel versies 4.18.9, 4.14.71, 4.9.128, en 4.4.157. Er is ook een fix in release 3.16.58.
Maar Horn wijst erop dat sommige Linux-distributies worden waardoor gebruikers blootgesteld aan mogelijke aanvallen door niet snel genoeg reageert op vaak bijgewerkt upstream stabiele kernel versies.
Zodra de patch is vastgesteld in de upstream kernel, de patch is openbaar gemaakt, en op dit punt is een aanvaller zou kunnen gebruiken om het ontwikkelen van een exploit, Hoorn vertelt.
Echter, eind-de gebruikers van de Linux-distributies zijn niet beschermd, tot iedere uitkering overgaat van de wijzigingen van upstream stabiele kernel, en vervolgens gebruikers installeren die bijgewerkte uitgave.
Tussen deze twee punten, het probleem krijgt ook de blootstelling op de openbare mailinglijsten, waardoor beide Linux distributies en aanvallers een kans om actie te ondernemen.
“De security probleem werd aangekondigd op de oss-security mailinglijst op 2018-09-18, met een CVE-allocatie op 2018-09-19, waardoor de noodzaak om het schip nieuwe distributie kernels voor gebruikers duidelijker,” Hoorn schreef in een Project Zero post publiceerde woensdag.
Maar toen hij merkte, vanaf woensdag, Debian stable en Ubuntu releases 16.04 en 18.04 had niet het probleem opgelost, met de laatste kernel update voorkomende ongeveer een maand eerder. Dit betekent dat er een gat van enkele weken tussen de fout wordt openbaar gemaakt en corrigeert het bereiken van eindgebruikers.
“Debian stable schepen een kernel gebouwd worden gebaseerd op 4.9, maar als van 2018-09-26, deze kernel werd het laatst bijgewerkt 2018-08-21. Evenzo, Ubuntu 16.04 schepen een kernel dat werd het laatst bijgewerkt 2018-08-27. Alleen Android schepen beveiligingsupdates een keer per maand,” merkte hij op.
“Daarom, wanneer een security-critical fix beschikbaar is bij een upstream-stabiele kernel, het kan nog weken duren voordat de correctie daadwerkelijk beschikbaar is voor gebruikers, vooral als de veiligheid wordt niet publiekelijk.”
Echter, het Fedora project was een beetje sneller, het duwen van een fix voor gebruikers op 22 September.
Canonical, het BRITSE bedrijf dat houdt van Ubuntu, heeft inmiddels gereageerd op de Hoorn op de blog, en zegt opgelost “los” rond maandag 1 oktober.
Dit is waarschijnlijk niet de laatste kernel bug Project Zero onderzoekers vinden, en tenzij Ubuntu en andere Linux distributies voor hun act samen op de upstream kernel correcties, ze kunnen verwachten naam en toenaam weer.
“De correctie tijdlijn laat zien dat de kernel de aanpak van ernstige security bugs is zeer efficiënt om snel landing correcties in de git master-structuur, maar laat een raam van blootstelling tussen het moment dat een upstream-fix is gepubliceerd en de tijd die de oplossing ook daadwerkelijk beschikbaar komt voor gebruikers — en dit keer venster is voldoende groot zijn dat een kernel exploit kon worden geschreven door een aanvaller in de tussentijd,” schreef Hoorn.
Vorige en aanverwante dekking
Cisco: Linux kernel FragmentSmack bug nu van invloed op 88 van onze producten
Cisco ‘ s lijst van producten met een Linux kernel denial-of-service fout is groeiende.
Linux op Windows-10: Draait Ubuntu vm ‘ s gewoon een stuk makkelijker, aldus Microsoft
Ubuntu vm ‘ s kunnen nu worden gestart vanuit Hyper-V Snelle Maken en gebruiken van RDP voor uitgebreide sessie modus.
Wat gebeurt er als je probeert om je code van Linux?
Linux-savvy juridische deskundigen uit het verleden en heden wegen in op deze knoestige, open-source-licenties kwestie.
Nieuwe Linux ‘Mutageen Astronomie’ lek effecten Red Hat, CentOS distro ‘ s
Red Hat team biedt oplossingen, belooft kernel updates.
Windows 10 Enterprise klanten krijgt nu een Linux-achtige ondersteuning
Buigen voor de druk van enterprise-beheerders, Microsoft heeft uitgebreid haar Windows-10 ondersteuning cyclus opnieuw. Vandaag aankondigingen te maken van een Linux-achtige Lange Termijn Ondersteuning-versie voor klanten die betalen voor Enterprise-upgrades.
Zelfs Linus Torvalds niet volledig begrijpen van de Linux-kernel
In een brede interview op Open Source-Top, Torvalds gesproken over programmeurs, Linux, en open source ontwikkeling.
Linus Torvalds en Linux Gedragscode: 7 mythes ontkracht
Nee, het protesteren zijn programmeurs niet verwijderen code van Linux; er zijn geen zuiveringen van politiek incorrect Linux kernel ontwikkelaars. En Linus Torvalds terug te komen.
Het installeren van Windows 10 in een VM op een Linux-machine TechRepublic
Leren hoe te installeren Windows-10 op je Linux machine met behulp van de meegeleverde licentie sleutel op voorgemonteerde systemen, en krijgen tips over hoe te verminderen van de hoeveelheid systeembronnen die door Windows wordt gebruikt.
Hoe te kiezen voor een Linux distro voor uw oude PC CNET
Op zoek leven in te blazen of te transformeren van een laptop of desktop? Er zijn veel versies van Linux om uit te kiezen, allemaal gratis (en geweldig). Hier is hoe om te beslissen welke de juiste is voor u.
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0