В ядре Linux исправлена уязвимость, обнаруженная шесть лет назад
Джули Борт (Julie Bort), журналистка издания Network World, сообщает, что на прошлой неделе в ядре Linux была "тихо" устранена уязвимость, позволяющая злоумышленнику выполнять код с привилегиями суперпользователя из любого приложения с графическим интерфейсом.
Согласно публикации Джули Борт, уязвимость впервые была обнаружена еще в 2004 году и тогда же исправлена в дистрибутиве SUSE, однако по какой-то причине исправление не дошло до основной ветви разработки и уязвимость была забыта вплоть до тех пор, пока она не была обнаружена повторно в текущем году исследователем в области информационной безопасности Рафалем Войтчуком (Rafal Wojtczuk).
Однако даже после повторного обнаружения ошибки на исправление было потрачено более одного месяца, предусмотренного обычной процедурой разработки ядра Linux. Публикация исправления должна была пройзойти не позже 1 августа, однако разработчики ядра увеличили сроки, и публикация состоялась лишь 13 августа. Кроме того, отмечает Джули Борт, первоначально опубликованнное Линусом Товалдсом (Linux Torvalds) исправление также оказалось неудачным и потребовало еще несколько дней на доводку.
Вместе с тем, Джонатон Корбет (Jonathon Corbet), редактор издания LWN.net, не считает, что данная уязвимость представляет критическую угрозу: "Мне бы хотелось отметить, что подобного рода уязвимость предполагает, что злоумышленник уже скромпрометировал систему в степени, достаточной для локального запуска программного кода; сама по себе эта уязвимость не может дать злоумышленнику доступ к уязвимой системе", – отмечает Джонатон Корбет.
Согласно публикации Джули Борт, уязвимость впервые была обнаружена еще в 2004 году и тогда же исправлена в дистрибутиве SUSE, однако по какой-то причине исправление не дошло до основной ветви разработки и уязвимость была забыта вплоть до тех пор, пока она не была обнаружена повторно в текущем году исследователем в области информационной безопасности Рафалем Войтчуком (Rafal Wojtczuk).
Однако даже после повторного обнаружения ошибки на исправление было потрачено более одного месяца, предусмотренного обычной процедурой разработки ядра Linux. Публикация исправления должна была пройзойти не позже 1 августа, однако разработчики ядра увеличили сроки, и публикация состоялась лишь 13 августа. Кроме того, отмечает Джули Борт, первоначально опубликованнное Линусом Товалдсом (Linux Torvalds) исправление также оказалось неудачным и потребовало еще несколько дней на доводку.
Вместе с тем, Джонатон Корбет (Jonathon Corbet), редактор издания LWN.net, не считает, что данная уязвимость представляет критическую угрозу: "Мне бы хотелось отметить, что подобного рода уязвимость предполагает, что злоумышленник уже скромпрометировал систему в степени, достаточной для локального запуска программного кода; сама по себе эта уязвимость не может дать злоумышленнику доступ к уязвимой системе", – отмечает Джонатон Корбет.
Ещё новости по теме:
18:20