红帽工程师和专家发现了Linux体彩3d中的一个内存损坏漏洞,这在通过TCP实现RDS(远程桌面协议)时基本上是一个缺陷。该漏洞影响了Red Hat,Ubuntu,Debian和SUSE,并且已经发布了所有安全公告。
此缺陷可能使攻击者可以破坏系统,并且任何远程攻击者都可以利用此漏洞。他们可以在没有网络特权的情况下执行此操作。也不需要用户交互。
攻击者可能利用以下漏洞:
- 允许未经授权的信息披露
- 允许未经授权的修改
- 允许服务中断
这些可能会触发DOS(拒绝服务)条件。
该漏洞跟踪为 CVE-2019-11815 可能导致特权升级漏洞。该漏洞仅影响5.0.8之前的Linux体彩3d,这些体彩3d对TCP模块使用可靠数据报套接字(RDS)
“根据安全专家的说法,一个具有由本地进程手动或自动加载rds_tcp体彩3d模块的系统,可能会允许攻击者根据使用后释放(UAF)条件操纵套接字状态,从而触发内存损坏和目标系统上的特权升级”, 安全咨询 由NIST发布。
以前的类似漏洞:
- MiTM漏洞导致APT中修补了代码执行
一月份,与代码执行相关的缺陷影响了APT高级软件包管理器。此漏洞被描述为“ http方法中的内容注入”,并且被跟踪为CVE-2019-3462,导致人为中间攻击。攻击者可以在受害者的系统上以root特权执行代码。
2. Google Project Zero的Jann Horn在2016年12月发现了类似的问题,后来
修补。
你该怎么办?
该问题已在Linux体彩3d的5.0.8版本中修复,因此,用户可以升级到更高的体彩3d版本。
如果您无法升级,或者不想处理体彩3d编译和依赖项,则可以将“ rds.ko”模块列入黑名单。
注意: 目前,尚无利用的已知案例,安全专家认为利用此漏洞非常复杂,但是管理员或用户应升级其Linux体彩3d版本是唯一的预防措施。
参考:
//nvd.nist.gov/vuln/detail/CVE-2019-11815
//access.redhat.com/security/cve/cve-2019-11815
分析依据:
Swapnil Nigade和Ganesh Lakariya(安全实验室QA)
没意见