html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Российский эксперт выявил уязвимость, позволяющую взломать 90% серверов в мире

Эксперт компании Positive Technologies Александр Попов обнаружил в ядре операционной системы Linux опасную уязвимость, существовавшую более семи лет. Об этом Лайфу рассказали представители компании.

Как поясняют специалисты, в коде ядра Linux долгое время присутствовала уязвимость высокого уровня критичности, оцениваемая на 7,8 балла из 10 возможных по шкале CVSS v3. Ошибка типа "состояние гонки" (race condition), приводящая к двойному освобождению памяти ядра, была выявлена в драйвере n_hdlc.

Проблема затронула большинство сборок системы, включая RHEL 6/7, Fedora, SUSE, Debian и Ubuntu, которые используются в том числе в области государственного управления, телекоммуникаций, авиаперевозок, здравоохранения, банков и др.

Наиболее широко уязвимость оказалась распространена на рабочих станциях и серверах под управлением Linux. По оценке компании, более 90% веб-серверов используют данную операционную систему.

Российский специалист обнаружил опасную уязвимость в ядре Linux, позволявшую получить привилегированный доступ к любым серверам

Фото: © Lehtikuva/EAST NEWS

При помощи уязвимости злоумышленники могли повысить свои привилегии в атакуемой системе и вызвать сбой в её работе. Подобные привилегии могут быть использованы для удаления файлов, просмотра частной информации или для установки нежелательных программ — в том числе вирусов. Повышение привилегий является одним из важнейших этапов атаки, который выполняется после удалённого проникновения в целевую систему.

Специалисты подчёркивают, что при атаке с использованием выявленной уязвимости злоумышленнику не нужно специализированного аппаратного обеспечения. По данным Positive Technologies, в 46% случаев внешний нарушитель, обладая относительно низкой квалификацией, может получить доступ к ресурсам внутренней сети. При этом в 47% случаев начальным этапом атаки становились уязвимости веб-приложений, а в случае оставшихся 53% виновником проблемы становились словарные пароли, используемые пользователями систем.

После получения доступа к ресурсам внутренней сети злоумышленник мог расширить свои пользовательские права внутри системы, а затем сделать что-либо критичное: например, нарушить её работу, выполнить операции от имени легитимного пользователя и т.д. Уязвимость позволяла повысить привилегии до максимального уровня в считаные секунды.

— Скажем, у банковской организации есть веб-сайт, к которому подключаются клиенты. Сайт работает на сервере под управлением Linux и взаимодействует с базой данных (в которой хранится полный набор персональных данных банковских клиентов — от логинов и паролей к личным кабинетам, до паспортных данных, номеров счетов, финансовых транзакций и пр.). Если злоумышленник, воспользовавшись уязвимостью сайта, получил возможность исполнять код на сервере с минимальными правами пользователя, то ему необходимы права администратора, чтобы выполнять какие-либо действия в базе данных сайта. Например, изменять суммы на счетах клиентов, совершать переводы денежных средств или просто копировать клиентские и другие данные для последующего их использования. Эти права он может получить благодаря использованию уязвимостей данного типа, — пояснили специалисты.

Как отмечается, уязвимость присутствует в ядре с 22 июня 2009 года. Ошибка была выявлена с помощью тестирования системных вызовов Linux фаззером syzkaller. 28 февраля 2017 года Александр Попов сообщил о проблеме на kernel.org, сопроводив своё обращение прототипом эксплойта и патчем для её устранения. 7 марта состоялось публичное разглашение информации об уязвимости, получившей номер CVE-2017-2636, после чего были выпущены обновления безопасности.

Специалисты настоятельно рекомендуют пользователям установить свежие обновления или вручную заблокировать уязвимый модуль.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с life.ru

1

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • life_ru
          • память
          • прототип
          • лето
          • безопасность
          • банк
          • домен life.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции