2014年5月14日消息 Windows XP停服导致的安全风波尚未平息,Linux又爆出严重安全漏洞,潜伏长达5年,比心脏出血漏洞的潜伏时间(两年)还长。
Linux内核维护团队近日修补了数月来最为严重的安全漏洞,该代码执行漏洞已经存在长达五年之久,对于VPS这样的主机共享托管服务来说尤其危险,此类服务的用户和系统管理员应当尽快升级到打好补丁的最新操作系统版本。
该漏洞最早出现在2009年的linux 2.6.31-rc3版本,允许非授权用户在含有漏洞的系统上运行恶意代码甚至引起系统崩溃(概念验证代码在这里)。漏洞驻留在控制Linux伪终端的n_tty_write功能中。
本次发现的漏洞也是2013年4月的perf_events issue (CVE-2013-2049)以来,Linux系统最为严重的越权漏洞,大量Linux内核(自2.6.31以后)都受到波及。
Azimuth安全公司的安全研究员Dan Rosenberg指出,如此严重的Linux漏洞数年才会出现一次。
虽然最新发现的Linux内存崩溃漏洞只能被拥有账户的用户利用,但是在托管环境下取得账户并非难事,而且该漏洞还有可能被黑客在多级攻击中加以利用,获取目标系统的超级控制权。而且有专家在Twitter上指出,该漏洞还有可能会感染Google的Android和Chrome操作系统。
Linux内核维护人员已经发布了一个Ubuntu的修复补丁,Red Hat声称Red Hat企业版5.0不受漏洞影响,Debian的声明在这里。