文/陳曉莉 | 2023-07-28發表
圖片來源: Gabriel Heinzer on unsplash
來自Wiz Research的兩名資安研究人員Sagi Tzadik與Shir Tamari在26日指出,Ubuntu中含有兩個與OverlayFS有關的權限擴張漏洞,影響了40%的Ubuntu用戶,而且以前的攻擊程式就適用。不過,Ubuntu在25日已藉由釋出Ubuntu 23.04,修補了包括這兩個漏洞在內的8個安全漏洞。
OverlayFS為一Linux檔案系統,由於它可在預先建構好的映像檔上部署動態檔案系統,因而隨著容器的興起而變得更熱門,然而,由於非常權用戶經常得以利用使用者命名空間(User Namespace)存取OverlayFS,使得它成為吸引駭客的攻擊表面。
Tzadik與Tamari說,基於Linux的Ubuntu在2018年針對OverlayFS模組作了許多變更,雖然這些變更並未帶來任何安全風險,但Linux Kernel專案在2019年與2022年執行的OverlayFS變更卻與Ubuntu的作法衝突,而分別產生了CVE-2023-32629與CVE-2023-2640漏洞。
有鑑於它們是基於Ubuntu的變更才衍生的,因此這兩個漏洞並未波及其它Linux作業系統。根據Ubuntu的說明,這兩個漏洞源自於Ubuntu中的OverlayFS在特定情況下無法妥善檢查權限,而允許本地端駭客擴張權限。
值得注意的是,那些過去鎖定OverlayFS漏洞所開發的攻擊程式,完全不需要修改就能攻擊CVE-2023-32629與CVE-2023-2640,Ubuntu用戶最好儘速修補。
至於Ubuntu 23.04本周所修補的其它漏洞,則皆直接源自Linux Kernel。
網頁設計.RWD響應式網站.活動網站 / 服務類
網站技術:PHP/MySql
配合振興劵而舉辦的抽獎活動,民眾可以透過「活動辦法」快速了解流程與獎品,點選「序號登錄」並確認抽獎資格後就可以等待開獎結果喔。 抽獎結束後若要確認是否有中獎,可以點擊選單的中獎名單來確認。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 電子科技類
網站技術:Javascript
服務範圍從商家、醫院到家庭都有機會可以看到建碁的商品,大到像是購物中心、超市的電視牆與店家使用的觸碰螢幕;小到醫院使用的醫療螢幕、電競螢幕或是家庭投影機..等等。
Line OA / 美容保養類
網站技術:PHP
幫痘氏BOM也推出LINE OA官方帳號與聊天室喔!! 透過官方帳號可以使用預約/查詢療程、衛教資訊與客服諮詢...等等。幫痘氏幫助你擺脫痘痘重新找回自信!!
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策