0
Gli esperti di sicurezza sono di avviso di un bug che potrebbe consentire agli hacker di mestiere pacchetti TCP che ingannare Linux inizializzazione del demone systemd, che potrebbe causare sistemi di crash o far eseguire codice dannoso.
Ubuntu maker Canonical ha rilasciato una patch per risolvere il problema scoperto da Chris Coulson, un ingegnere del software presso l’azienda.
“Un server DNS dannoso può sfruttare questo per rispondere con un appositamente predisposto payload TCP per ingannare systemd-risolto in allocare un buffer troppo piccolo, e successivamente scrivere dati arbitrari oltre la fine di esso,” Coulson ha scritto.
Il bug, identificato come CVE-2017-9445, potrebbe essere utilizzato da un attaccante remoto per causare un denial of service nel demone o di eseguire codice arbitrario, Canonico note nella sua consulenza.
Coulson dice che il bug è stato introdotto in systemd versione 223 nel 2015 e colpisce tutte le versioni fino alla versione 233.
Canonical ha valutato il problema di “alta priorità” e ha rilasciato le correzioni per Ubuntu 17.04 e Ubuntu 16.10.
Systemd, che è stato creato da RedHat sviluppatori, è utilizzato anche da molte altre distribuzioni Linux, tra cui Linux Debian, openSUSE, e di RedHat Fedora.
Gli sviluppatori Debian notare che il problema non interessati Debian Wheezy e Jessie, mentre il Tratto e Buster sono vulnerabili. Tuttavia, nel Tratto del caso, il problema è considerati “minori”, perché i sistemi-risolto non è abilitata per impostazione predefinita.
Un ricercatore nel gennaio scoperto systemd versione 232 conteneva un difetto che potrebbe consentire a un utente malintenzionato di root per dispositivi interessati.
0