多版本Linux发现严重漏洞 可能导致攻击升级

发布时间:2004-04-21发布部门:信息化办公室
     4月16日消息,安全研究公司警告称,Linux内核存在一种缓存溢出安全漏洞。这个安全漏洞能够被利用,从而导致全线升级攻击。

  据iDEFENSE公司发表的安全公告称,这个安全漏洞影响Linux内核2.6.x、Linux内核2.5.x和Linux内核2.4.x。成功地利用这个安全漏洞将允许以根或者内核级别的权限运行任意代码。

  这家安全公司发现,受到这种安全漏洞影响的Linux内核对存储在ISO9660文件系统中的符号链接不进行长度检测。这个问题允许一个有故障的CD光盘在内核存储器中造成任意长度的缓存溢出。

  ISO8660文件系统中的符号链接是由“RockRidge”扩展支持的标准格式。在恶意制作的ISO文件系统中执行目录列表或者试图通过这个文件系统中错误的符号链接访问一个文件都可能启动这个安全漏洞。这个安全公告称,许多发布版本的Linux操作系统都允许用户安装CD,这就使系统容易受到本地权限升级的攻击。

  kernel.org 网站提供了Linux内核的升级版本软件。

  此外,Secunia安全公司警告称,Linux内核2.4.x和Linux内核2.6.x中还发现了信息泄漏安全漏洞和拒绝服务攻击安全漏洞。信息泄漏安全漏洞是在ext3、XFS和JFS文件系统编码中发现的。这个安全漏洞会把加密密钥等数据暴露给恶意攻击者。

  另一个安全漏洞是在用于SoundBlaster16音效卡的OSS代码中发现的。输出字节数为奇数的数据就可以利用这个安全漏洞引发拒绝服务攻击。

摄影:
编辑:
信息员:系统管理员
撰写: