Nhiều lỗ hổng đã được xác định trong lõi nhân Linux và phần mềm liên quan có thể cho phép tin tặc tấn công các máy chủ Linux, các share hosting và các trang web lưu trữ trên đó.
LỖ HỔNG LEO THANG ĐẶC QUYỀN TRONG NHÂN LINUX
Một lỗ hổng leo thang đặc quyền đã được xác định trong nhân Linux đang được sử dụng rộng rãi, có thể cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống của người dùng.
Hôm thứ năm vừa qua, các nhà phân phối phổ biến nhất của hệ điều hành mã nguồn mở Linux OS là Debian đã cảnh báo về lỗ hổng này (CVE-2014-3153) trong một bản cập nhật bảo mật, cùng với một số lỗ hổng khác nằm trong nhân Linux có thể dẫn đến một tấn công từ chối dịch vụ.
Quan trọng nhất là lỗ hổng này (CVE-2014-3153) được phát hiện bởi Pinkie Pie, nằm trong Futex subsystem được gọi đến bởi nhân Linux các phiên bản 2.6.32.63/ 3.2.59/ 3.10.41/ 3.12.21/ 3.14.5, có thể được khai thác để thực thi các đoạn mã tùy ý với các đặc quyền của nhân hệ điều hành.
“Pinkie Pie phát hiện ra một vấn đề trong các sybsytem futex, cho phép người dùng local có thể được cấp ring 0 control thông qua các lời gọi hệ thống trong futex”. “Một người dùng không có đặc quyền có thể lợi dụng lỗ hổng này để gây crash cho nhân hệ thống (kết quả là một cuộc tấn công từ chối dịch vụ) hoặc cho leo thang đặc quyền”.
Pinkie Pie là một hacker trẻ vô danh có đạo đức và khả năng, người đã được trao thưởng ít nhất là 100.000 đôla cho việc vượt qua các tính năng bảo mật của Google Chrome, đa phần trong số đó là khai thác sandbox, ở cả hai cuộc thi Pwnium và Pwn2Own hàng năm kể từ 2012.
LỜI KHUYÊN CỦA NHÀ NGHIÊN CỨU
Kees Cook, một nhà nghiên cứu bảo mật về hệ điều hành Google Chrome và Ubuntu cho rằng lỗ hổng được tìm thấy đầu tiên bởi Pinkie Pie ở mức độ cần “sửa chữa khẩn cấp”.
Cook đã viết trên Seclists.org hôm thứ năm rằng:“Lỗ hổng này phải được sửa chữa khẩn cấp vì futex thường có sẵn trong hầu hết các hệ thống Sanboxes của Linux (vì nó được sử dụng như một pthread glibc)”.
CHKROOTKIT – MỘT LỖ HỔNG NGUY HIỂM KHÁC
Lỗ hổng được chú ý chỉ hai ngày sau khi Thomas Stangner báo cáo một lỗ hổng nghiêm trọng trong Chkrootkit (Check Rootkit) cho phép kẻ tấn công local có quyền truy cập root để giành quyền kiểm soát hệ thống bằng cách thực hiện mã độc bên trong thư mục /tmp .
Một chương trình căn bản của dựa trên Unix là chkrootkit giúp quản trị hệ thống kiểm tra hệ thống của họ để biết về các rootkit. Các lỗ hổng trong chkrootkit là CVE-2014-0476, thực chất nằm trong chức năng Slapper() trong gói chkrootkit shell script. Một người sử dụng không có quyền root có thể đặt bất kỳ tập tin thực thi độc hại có tên là “update” trong thư mục /tmp mà sẽ được thực hiện dưới quyền root bất cứ khi nào chkrootkit quét thư mục này cho rootkit.
LỖ HỔNG KHÁC TRONG NHÂN LINUX
Một vấn đề an ninh khác (CVE-2014-3144 và CVE-2014-3145 ) cũng đã được phát hiện trong nhân Linux có thể cho phép bất kỳ người dùng local nào cũng có thể gây ra một tấn công từ chối dịch vụ (DoS) thông qua cấu trúc BPF.
Debian đã ban hành bản vá lỗi cho lỗ hổng này và khuyến khích người sử dụng Linux nâng cấp các gói Linux của họ nhằm nhấn mạnh rằng vấn đề này đã được sửa chữa trong bản phân phối ổn định phiên bản 3.2.57-3 + deb7u2 và sẽ vá lỗi trong bản phân phối không ổn định càng sớm càng tốt.
Theo The Hacker News
---
Khóa học Hacker và Marketing từ A-Z trên ZALO!
Khóa học Hacker và Marketing từ A-Z trên Facebook!
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP
Khóa học Lập trình Visual Foxpro 9 - Dành cho nhà quản lý và kế toán
Khóa học hướng dẫn về Moodle chuyên nghiệp và hay
Xây dựng hệ thống đào tạo trực tuyến chuyên nghiệp tốt nhất hiện nay.
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
Khóa học “Thiết kế bài giảng điện tử”, Video, hoạt hình
kiếm tiền Youtube bằng phần mềm Camtasia Studio
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA
Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍
GOOGLE SPREADSHEETS phê không tưởng
Hãy tham gia khóa học để biết mọi thứ
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử
Để thành thạo Wordpress bạn hãy tham gia khóa học
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công
Cập nhật công nghệ từ Youtube tại link: congnghe.hocviendaotao.com
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
kiếm tiền Youtube bằng phần mềm Camtasia Studio
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA
Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍
GOOGLE SPREADSHEETS phê không tưởng
Hãy tham gia khóa học để biết mọi thứ
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử
Để thành thạo Wordpress bạn hãy tham gia khóa học
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công
Cập nhật công nghệ từ Youtube tại link: congnghe.hocviendaotao.com
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
