В начале апреля в
Linux ядре без особой огласки была исправлена уязвимость в SCTP
подсистеме, которая позднее была квалифицирована в отчетах
безопасности
Ubuntu
и
RedHat как потенциальная возможность удаленного совершения DoS
атаки. Один из экспертов в области безопасности, возмущенный
манерой сводить все ошибки, связанные с выходом за границы
выделенной области памяти, к неопасным DoS уязвимостям, недолго
думая
написал работающий эксплоит для удаленного выполнения кода с
привилегиями суперпользователя.

По мнению экспериментатора, ситуация является типичной и
подобные эксплоиты можно при желании создать для большинства "DoS
уязвимостей" ядра. Пользователи должны производить обновления даже
при нахождении незначительных уязвимостей в ядре, так как скорее
всего серьезность их сильно преуменьшена.



Оставить мнение