Google与红帽的安全研究人员近日不约而同地发现了Linux的GNU C library(Glibc)专案中藏匿一重大的安全漏洞,可能造成堆积缓冲区溢位并导致远端程式攻击,估计将影响众多的Linux软件与装置。该漏洞的修补程式已于周二(2/16)释出。
Glibc为一用来定义Linux系统上的系统呼叫与其他基本功能的C语言函式库,是一个重要且基本的Linux核心功能,去年出现的鬼(GHOST)漏洞也是源自于Glibc。
根据Google的说明,在Glibc的DNS客户端解析器中使用getaddrinfo() 函式功能时,骇客只要在合法的DNS请求时,以过大的DNS档案回应,便会形成堆积缓冲区溢位漏洞。
骇客可透过所掌控的网域名称或DNS伺服器开采漏洞,或是执行中间人(man-in-the-middle)与偷渡式攻击。该漏洞影响Glibc 2.9(2008年释出)以后的所有版本,成功的开采虽然可导致远端程式攻击,但并不那么直觉,骇客还需要绕过诸如ASLR等系统上的安全机制。
此一新漏洞的编号为CVE-2015-7547,Google或红帽并未列出受到影响的产品,资安业者则警告,只要是使用glibc的各种系统都有安全风险,包括Linux、Unix或Android行动平台,是个值得紧急修补的安全漏洞。
Google已释出用来确定漏洞存在与否的概念性验证程式,目前并未发现针对该漏洞的攻击程式,但资安社群相信在漏洞公开后,攻击程式很快就会现身,呼吁用户尽快修补。
?
I 相关 / Other
好房网News记者陈佑婷/整理报导 近日网路疯传2/14~2/19,西台湾将又会出现规模6.5以上的强震,而且以“新
? 1995 - 2016 China Times Inc. 请尊重智慧财产权勿任意转载违者依法必究。
在 Linux 、类 Unix 系统中我该如何使用 Grep 命令的正则表达式呢?Linux 附带有 GNU grep 命令工具,它支持
有许多命令可以用来查看 Linux 系统上的硬件信息。有些命令只能够打印出像 CPU 和内存这一特定的硬件组件信
为了解决性能问题,你登入了一台 Linux 服务器,在最开始的一分钟内需要查看什么?在 Netflix 我们有一个庞