阿里云
服务器地域选择
发表主题 回复主题
  • 1395阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE–2017–1000253:Linux PIE/stack 内存破坏漏洞

级别: 论坛版主
发帖
183
云币
339
2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的漏洞信息,漏洞编号为:CVE-2017-1000253,可以通过该漏洞实现本地权限提升,存在安全风险,相关受影响的Linux发行版也发布了该漏洞相关的更新补丁。 0zc~!r~  
具体详情如下:                                                                                                                                          
漏洞编号: }AG dWt@  
CVE–2017–1000253 ana?;NvC  
漏洞名称: Qm@v}pD  
Linux PIE/stack 内存破坏漏洞 A(1d q  
官方评级: ~{$5JIpCm  
高危 PzH#tG&.j  
漏洞描述: 3-4CGSX;X  
Linux环境下,如果应用程序编译时有“-pie”编译选项,则load_elf_binary()将会为其分配一段内存空间,但是load_elf_ binary()并不考虑为整个应用程序分配足够的空间,导致PT_LOAD段超过了mm->mmap_base。在x86_64下,如果越界超过128MB,则会覆盖到程序的栈,进而可能导致权限提升。 cr>"LAi  
漏洞利用条件和方式: z;1qYW[-A  
本地提权 l'FNp  
漏洞影响范围: &Ef_p-e-P  
  • 2017年09月13日前发行的 CentOS 7 全版本(版本1708前)
  • 2017年08月01日前发行的 Red Hat Enterprise Linux 7 全版本(版本7.4前)
  • 所有版本的CentOS 6 和 Red Hat Enterprise Linux 6
!9g >/9h  
漏洞检测: r8TNl@Z  
开发人员检查内核版本是否在受影响范围内。 tWa_-Un3  
漏洞修复建议(或缓解措施): vJfj1 f  
目前各大发型厂商已经发布了最新版本内核补丁,建议用户升级Kernel 3.10.0-693及以后版本。 R6E.C!EI  
情报来源: :FWo,fq?:{  
  • http://seclists.org/oss-sec/2017/q3/541
  • http://www.openwall.com/lists/oss-security/2017/09/26/16
  • https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt
qV7nF }V{  
yGX"1Fb?;x  
a6epew!2  
'J(B{B7|  
pHv~^L%=  
+Q!  
6\GL|#G  
pipqXe  
/qObXI  
_'"$,~ZWY  
:vRUb>z  
.E&-gXJ4  
JsyLWv@6xa  
\&. ]!!Q  
iU9>qJ]  
F2Nb]f  
n2(@uT&>  
U6 $)e.FO  
5*IfI+}  
RT$.r5l_@  
LJ+Qe%|  
+*vg) F:  
DU=rsePWE  
S=.7$PY  
w] =q>p  
w!N?:}P<N  
!=yNj6_f  
ne (zGJd  
AQ` `Dp  
3HI- G.]hC  
UoSzxL  
1YxG<K]  
Yl#|+xYA5[  
4UV<Q*B\F  
SV}C]<  
]1k"'XG4,  
cEc_S42Z  
$VRVM Y [q  
quGv q"Y>  
~R!M.gY[rK  
6-oy%OnN  
Un[ 0or  
HZDeQx`*s  
@V>BG8Y  
d%wy@h  
W3.(s~ )o  
N ">4I)  
[ 此帖被正禾在2017-09-27 18:59重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个