隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2023
08
02

研究人員警告,4成Ubuntu含有漏洞風險[轉載自IThome]

關鍵字:專案開發資訊安全

文/陳曉莉 | 2023-07-28發表

圖片來源: Gabriel Heinzer on unsplash

 

來自Wiz Research的兩名資安研究人員Sagi Tzadik與Shir Tamari在26日指出,Ubuntu中含有兩個與OverlayFS有關的權限擴張漏洞,影響了40%的Ubuntu用戶,而且以前的攻擊程式就適用。不過,Ubuntu在25日已藉由釋出Ubuntu 23.04,修補了包括這兩個漏洞在內的8個安全漏洞。

OverlayFS為一Linux檔案系統,由於它可在預先建構好的映像檔上部署動態檔案系統,因而隨著容器的興起而變得更熱門,然而,由於非常權用戶經常得以利用使用者命名空間(User Namespace)存取OverlayFS,使得它成為吸引駭客的攻擊表面。

Tzadik與Tamari說,基於Linux的Ubuntu在2018年針對OverlayFS模組作了許多變更,雖然這些變更並未帶來任何安全風險,但Linux Kernel專案在2019年與2022年執行的OverlayFS變更卻與Ubuntu的作法衝突,而分別產生了CVE-2023-32629CVE-2023-2640漏洞。

有鑑於它們是基於Ubuntu的變更才衍生的,因此這兩個漏洞並未波及其它Linux作業系統。根據Ubuntu的說明,這兩個漏洞源自於Ubuntu中的OverlayFS在特定情況下無法妥善檢查權限,而允許本地端駭客擴張權限。

值得注意的是,那些過去鎖定OverlayFS漏洞所開發的攻擊程式,完全不需要修改就能攻擊CVE-2023-32629CVE-2023-2640,Ubuntu用戶最好儘速修補。

至於Ubuntu 23.04本周所修補的其它漏洞,則皆直接源自Linux Kernel。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價