2

我最近发现 linux 内核中有几个允许权限提升的漏洞,这些漏洞尚未在主要发行版中进行修补,并且在通常的来源上有公开的漏洞利用。例如,我可以使用这个非常简单的漏洞在任何完全最新的 Ubuntu 10.04 系统上获取 root。

这种担心我。出现两个问题:

  • 为什么 linux 内核没有针对已经存在 2 周的漏洞进行修补?这听起来对我来说是一个非常危险的情况。

  • 鉴于这种情况,是否有一种安全的方法可以在我的机器上为某人提供访客帐户?或者我应该假设访客帐户更像是一种象征性的安全性,并且只将帐户提供给我真正信任的人。

4

3 回答 3

1

更重要的是——因为没有更好的词——像 Gentoo 和 Slackware 这样的核心发行版已经修补了一周左右。此外,某些配置根本不存在漏洞,而其他配置在技术上存在漏洞,但在已发布的漏洞利用中不存在漏洞。

对于极度偏执的人,您可以执行以下操作:

  • 直接从 git 分支修补您自己的内核。这是第一次很难弄清楚的事情,但实际上一旦设置好就很容易维护。您选择的发行版可能会为其内核维护自己的公共 git 分支,这些分支很可能在两周前合并到已发布的修复分支中进行测试。即使他们正在等待它进入官方上游版本,git 也可以非常容易地合并来自许多不同来源的分支,因此您不必等待自己。
  • 将内核配置为您实际需要的最低限度的功能。据我了解,如果关闭虚拟化所需的某些选项,则此漏洞不是问题。相比之下,股票发行内核使一切都能够满足所有人的需求。此外,已发布的漏洞利用依赖于 /proc/kallsyms 中可用的内核符号表。可以关闭此选项,并且没有理由大多数人都需要它。
  • 使用强制访问控制为您的访客用户和互联网应用程序提供必要的最低权限。

所有这些预防措施的缺点是您更有可能破坏您的系统,这就是为什么大多数面向用户的发行版会花时间进行测试。

于 2010-10-01T05:00:18.073 回答
0

根据lwn.net

对于更面向社区的发行版(Debian、Fedora、openSUSE、Ubuntu 等),反应有些复杂。Ubuntu、Debian 和 Fedora 在9 月 17 日修复了这两个错误(或者,对于 Debian,只有一个,因为它的稳定发行版(“Lenny”)基于 2.6.26,因此不易受 CVE-2010- 3301)。openSUSE 尚未发布修复,我们跟踪的二级发行版(Gentoo、Mandriva、Slackware 等)也没有发布修复。

因此,如果您的 ubuntu 确实是最新的,那么它应该很早就是安全的。另外,我记得在 bug 发布后不久就看到了更新。

因此,要么修复不正确,要么您的系统未正确更新,并且已经有两周没有更新了。内核更新需要重新启动系统。

顺便说一句,编程问题在哪里?

于 2010-10-01T08:04:32.673 回答
0

实际上,补丁是在 9 月 14 日编写的,可以在这里这里找到。但是,此补丁尚未合并到主线。内核编程非常困难。补丁可能会破坏兼容性或导致系统行为不正确。微软通常需要 1 个月的时间为任何东西编写补丁,甚至是记事本。

通常,攻击者可以破坏用户级进程,例如您的守护进程之一(unrealircd 或 sendmail)。或者更可能是像 Wordpress 或 PHP-Nuke 这样的 Web 应用程序。此时攻击者拥有一个用户帐户,如果需要,可以获取root。因此,像这样的特权提升漏洞经常与其他漏洞一起使用。

更令人担忧的是,Toravolds 因无声补丁而臭名昭著。这也是微软喜欢的消遣。

于 2010-09-30T23:37:22.487 回答