Linux核心出現權限擴張及記憶體存取漏洞 - 資安

http://www.ithome.com.tw/itadm/article.php?c=47524

這兩個出現於Linux核心的漏洞都無法正確確認使用者指標值，因此導致記憶體存取漏洞
，駭客能夠利用上述漏洞以讀取或寫入記憶體區域。

安全研究機構Securityfocus在上周發表多個Linux核心漏洞，其中包括一個區域權限擴張
及兩個記憶體存取漏洞，這些漏洞除了影響2.6.24.1版本以前的Linux核心外，更可能包
括紅帽及Ubuntu產品。

兩個區域記憶體存取漏洞分別是"vmsplice_to_user()"及"copy_from_user_mmap_sem()"
，這兩個漏洞都無法正確確認使用者指標值，因此導致記憶體存取漏洞，駭客能夠利用上
述漏洞以讀取或寫入記憶體區域。

這兩個影響Linux核心的記憶體存取漏洞可仍影響Turbolinux Server、RedHat Fedora，
後者更影響Debian Linux。

另一個"vmsplice_to_pipe()"漏洞則是區域權限擴大漏洞，駭客得以取得受害電腦的超級
使用權限。受影響的Linux系統除了紅帽及Turbolinux Server外，還擴及Ubuntu Linux、
Slackware Linux及openSUSE等。

雖然資安業者Secunia將此一擴大權限漏洞列為低風險等級，不過紅帽及Ubuntu都在短時
間內分別修補了該擴大權限漏洞。（編譯/陳曉莉）

--