В ядре Linux устранили опасную уязвимость, которая присутствовала с 2009 года

Вышел патч для одной из самых опасных уязвимостей в open source проектах. Баг пятилетней давности в ядре Linux особенно опасен для серверов, размещающихся на виртуальном хостинге.

Уязвимость CVE-2014-0196 с повреждением памяти присутствует во всех версиях ядра, начиная с 2.6.31-rc3, то есть с 2009 года. Благодаря этому багу, владелец любого аккаунта может выполнить в системе произвольный код с привилегиями root’а или обрушить систему. Уже выпущен эксплойт для версий ядра c 3.14-rc1 по 3.15-rc5. Дело в том, что в 3.14-rc1 немного изменили подсистему TTY, а это значительно облегчает эксплуатацию уязвимости. Но то же самое можно делать на всех версиях, начиная с 2.6.31-rc3.

Баг присутствует в функции n_tty_write, управляющей псевдоустройством tty в Linux.

По словам Дэна Розенберга из компании Azimuth Security, уязвимость  не зависит от конкретной архитектуры или конфигурации оборудования и затрагивает длинный список ядер Linux. Так что уязвимость может присутствовать и в операционной системе Android и Chrome OS. 

Источник: kv.by