Google Project Zero جزئیاتی در مورد یک #آسیبپذیری بسیار شدید use-after-freeدر هستهی #لینوکس منتشر کرد که بهعنوان "CVE-2018-17182" ردیابی شده است. این آسیبپذیری از نسخهی 3.16 که در ماه آگوست سال 2014 معرفی شد، تا نسخهی 4.18.8 هستهی لینوکس وجود دارد.
این نقص میتواند توسط یک مهاجم مورد سوءاستفاده قرار گیرد و باعث ایجاد یک حملهی DoSیا اجرای کد دلخواه با امتیازات ریشه در سیستم آسیبپذیر شود.
تيم توسعهدهندهی هستهی لينوکس، دو روز پس از دريافت گزارش اين نقص در تاريخ ۱۲ سپتامبر، آنرا رفع کردند. پژوهشگران کد اثبات مفهومی (PoC) را برای اين آسيبپذيری ارایه دادند و اعلام کردند که برای استفاده از اين نقص نياز به زمان بالايی است و فرايندهايی که منجر به اين آسيبپذيری میشوند لازم است مدت زمانی طولانی اجرا شوند.
در حال حاضر این مشکل در نسخههای زیر رفع شده است:
- 4.18.9
- 4.14.71
- 4.9.128
- 4.4.157
- 3.16.58
این احتمال وجود دارد که فعالان تهدید در تلاش برای سوءاستفاده از این آسیبپذیری باشند. یکی دیگر از نگرانیها این است که برخی توزیعهای اصلی لینوکس، ازجمله Debianو Ubuntu، بهعلت منتشر نکردن بهروزرسانیهای موردنیاز، کاربران خود را در معرض حملات احتمالی قرار میدهند.
این سوءاستفاده، اهمیت پیکربندی یک هستهی امن را نشان میدهد. تنظیمات خاصی مانند "kernel.dmesg_restrict sysctl" میتواند برای این منظور مفید باشند.
- 11