文/陳曉莉 | 2023-07-28發表
圖片來源: Gabriel Heinzer on unsplash
來自Wiz Research的兩名資安研究人員Sagi Tzadik與Shir Tamari在26日指出,Ubuntu中含有兩個與OverlayFS有關的權限擴張漏洞,影響了40%的Ubuntu用戶,而且以前的攻擊程式就適用。不過,Ubuntu在25日已藉由釋出Ubuntu 23.04,修補了包括這兩個漏洞在內的8個安全漏洞。
OverlayFS為一Linux檔案系統,由於它可在預先建構好的映像檔上部署動態檔案系統,因而隨著容器的興起而變得更熱門,然而,由於非常權用戶經常得以利用使用者命名空間(User Namespace)存取OverlayFS,使得它成為吸引駭客的攻擊表面。
Tzadik與Tamari說,基於Linux的Ubuntu在2018年針對OverlayFS模組作了許多變更,雖然這些變更並未帶來任何安全風險,但Linux Kernel專案在2019年與2022年執行的OverlayFS變更卻與Ubuntu的作法衝突,而分別產生了CVE-2023-32629與CVE-2023-2640漏洞。
有鑑於它們是基於Ubuntu的變更才衍生的,因此這兩個漏洞並未波及其它Linux作業系統。根據Ubuntu的說明,這兩個漏洞源自於Ubuntu中的OverlayFS在特定情況下無法妥善檢查權限,而允許本地端駭客擴張權限。
值得注意的是,那些過去鎖定OverlayFS漏洞所開發的攻擊程式,完全不需要修改就能攻擊CVE-2023-32629與CVE-2023-2640,Ubuntu用戶最好儘速修補。
至於Ubuntu 23.04本周所修補的其它漏洞,則皆直接源自Linux Kernel。
網頁設計.企業形象網站 / 服務類
網站技術:PHP . Javascript
服務對象主要是台中當地不動產事務所,與各事務所建立互助的關係。公會不定期舉辦教育訓練/座談會、提供相關資料使用。加入會員可以觀看自己的報名紀錄與時數相關資料。
網頁設計.企業形象網站 / 機械工業類
網站技術:PHP . Javascript/MySql
提供專業氣動打釘槍的研發與製造服務,並且有優良的產品品質。
Line OA / 購物網站類
網站技術:PHP . Javascript/MySql
玩具"反"斗城現在也有LINE官方帳號/聊天室,大/小朋友與迷你朋友都喜歡反斗城的玩具!! 對爸媽來說買玩具也是需要精打細算,可以利用LINE官方帳號的優惠來到反斗城撿便宜喔。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策