阿里云
订阅广场
发表主题 回复主题
  • 1774阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE–2017–1000253:Linux PIE/stack 内存破坏漏洞

级别: 论坛版主
发帖
214
云币
398
2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的漏洞信息,漏洞编号为:CVE-2017-1000253,可以通过该漏洞实现本地权限提升,存在安全风险,相关受影响的Linux发行版也发布了该漏洞相关的更新补丁。 F;Spi  
具体详情如下:                                                                                                                                          
漏洞编号: cRC6 s8  
CVE–2017–1000253 3xy<tqfr  
漏洞名称: DcS+_>a\{l  
Linux PIE/stack 内存破坏漏洞 _f7 9wx\B  
官方评级: mn'A9er  
高危 w$>u b@=  
漏洞描述: (Nq=H)cm8  
Linux环境下,如果应用程序编译时有“-pie”编译选项,则load_elf_binary()将会为其分配一段内存空间,但是load_elf_ binary()并不考虑为整个应用程序分配足够的空间,导致PT_LOAD段超过了mm->mmap_base。在x86_64下,如果越界超过128MB,则会覆盖到程序的栈,进而可能导致权限提升。 xEa\f[.An  
漏洞利用条件和方式: $o!zUH~'v  
本地提权 !@5 9)  
漏洞影响范围: qRu~$K  
  • 2017年09月13日前发行的 CentOS 7 全版本(版本1708前)
  • 2017年08月01日前发行的 Red Hat Enterprise Linux 7 全版本(版本7.4前)
  • 所有版本的CentOS 6 和 Red Hat Enterprise Linux 6
Q@=Q0  
漏洞检测: :S]\0;8]  
开发人员检查内核版本是否在受影响范围内。 Q1lyj7c#x  
漏洞修复建议(或缓解措施): ~ \r*  
目前各大发型厂商已经发布了最新版本内核补丁,建议用户升级Kernel 3.10.0-693及以后版本。 o]odxr  
情报来源: a1+oj7  
  • http://seclists.org/oss-sec/2017/q3/541
  • http://www.openwall.com/lists/oss-security/2017/09/26/16
  • https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt
xKbXt;l2  
g/4[N{Xf  
D2 #ZpFp"h  
-$\y_?}  
OU E (I3_  
R- X5K-  
UB@Rs|)  
)w em|:H  
~"gA,e-)  
p;a,#IJu  
vN}#Kc\  
DmK57V4L^  
>[f?vrz  
Y!xF ;a  
0mp/Le5  
'(6z. toQ  
. P viA  
`6;?9NI  
cbjs9bu  
Xc ++b|k  
`b&%Hm  
W<{h,j8  
!"AvY y9  
F-QzrquS  
_{ue8kGt  
/A\8 mL8  
;7*[Bcj.  
{L971W_L  
@ )F)S 7  
E, Z$pKL?  
D_2:k'4  
>IafUy  
d7^}tM  
$GV7o{"&  
PN%zIkbo  
sfH_5 #w  
ZmqKQO  
gk4;>}  
<\ y@*fg+  
O^PKn_OJ  
2ACCh4(/P  
Eh`7X=Z7E  
CZe ]kXNv  
1#g2A0U,  
jwe*(k]z  
hW' )Sp  
.<?GS{6 N  
[ 此帖被正禾在2017-09-27 18:59重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 17 + 53 = ?
上一个 下一个