بروزرسانی امنیتی لینوکس

بسته نرم افزاری: لینوکس

کدهای آسیب­ پذیری: CVE-2018-15471 و  CVE-2018-18021

چندین آسیب ­پذیری در هسته لینوکس کشف شده است که می­ تواند به افزایش سطح مجوز، انکار سرویس، و یا افشای اطلاعات منجر شود. شرح مهمترین آسیب ­پذیری­ ها عبارتند از:

CVE-2018-15471

اعضای پروژه صفر  گوگل، یک خطا در مدیریت هش (درهم سازی) ماژول هسته xen-netback لینوکس کشف کرده­ اند. یک برنامه frontend مخرب یا پرخطا می­ تواند در یک برنامه backend (معمولا با دسترسی بالا)، سبب دسترسی به حافظه خارج از مرز شود، که درنتیجه آن می ­تواند سطح مجوز بالا رود، انکار سرویس اتفاق بیفتد و یا اطلاعات افشا گردد.

CVE-2018-18021

محققان کشف کرده ­اند که زیر سامانه­ های KVM بر روی پلتفرم ARM64 به شکل مناسبی KVM_SET_ON_REG ioctl را مدیریت نمی­ کنند. مهاجمی که می ­تواند یک ماشین مجازی مبتنی بر KVM را ایجاد کند، قادر خواهد بود از این خطا برای انکار سرویس یا افزایش سطح مجوز (تغییر مسیر دلخواه کنترل جریان hypervisor با کنترل کامل رجیستر) استفاده کند.

مشکلات ذکر شده در نسخه 3-4.9.110+deb9u6 برطرف گردیده ­اند. پیشنهاد می­ شود برای رفع آسیب ­پذیری­ ها نسخه لینوکس خود را بروز رسانی کنید.

تاریخ: 2018/10/8– 1397/7/16

منبع: www.debian.org/security

فهرست