阿里云
服务器地域选择
发表主题 回复主题
  • 1377阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE–2017–1000253:Linux PIE/stack 内存破坏漏洞

级别: 论坛版主
发帖
183
云币
339
2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的漏洞信息,漏洞编号为:CVE-2017-1000253,可以通过该漏洞实现本地权限提升,存在安全风险,相关受影响的Linux发行版也发布了该漏洞相关的更新补丁。 R/Sm  
具体详情如下:                                                                                                                                          
漏洞编号: W<[7LdAB  
CVE–2017–1000253 Zm|il9y4m  
漏洞名称: <7B;_3/  
Linux PIE/stack 内存破坏漏洞 X7:Dw]t  
官方评级: N1'Yo:_A  
高危 .i*ja*   
漏洞描述: K|6}g7&X  
Linux环境下,如果应用程序编译时有“-pie”编译选项,则load_elf_binary()将会为其分配一段内存空间,但是load_elf_ binary()并不考虑为整个应用程序分配足够的空间,导致PT_LOAD段超过了mm->mmap_base。在x86_64下,如果越界超过128MB,则会覆盖到程序的栈,进而可能导致权限提升。 uC#] F@  
漏洞利用条件和方式: Qy=tkCN  
本地提权 iEy2z+/"^  
漏洞影响范围: {!{T,_ J  
  • 2017年09月13日前发行的 CentOS 7 全版本(版本1708前)
  • 2017年08月01日前发行的 Red Hat Enterprise Linux 7 全版本(版本7.4前)
  • 所有版本的CentOS 6 和 Red Hat Enterprise Linux 6
V\FlKC   
漏洞检测: EG8z&^O x  
开发人员检查内核版本是否在受影响范围内。 )=aq j@v  
漏洞修复建议(或缓解措施): b}u#MU  
目前各大发型厂商已经发布了最新版本内核补丁,建议用户升级Kernel 3.10.0-693及以后版本。 }v?l0Gk(  
情报来源: j.+,c#hFo  
  • http://seclists.org/oss-sec/2017/q3/541
  • http://www.openwall.com/lists/oss-security/2017/09/26/16
  • https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt
 #.Ly  
1hV&/Qr  
?V_v=X%w  
NA/Sv"7om  
6O 2sa-{d  
e U-A_5  
gB,Q4acjj  
|Q?$n3-f"  
,pkzNe`F  
=U:]x'g(  
I9U 8@e!X  
$D f1t  
#}Ays#wA>?  
0{?%"t\/f  
pMp@W`i^6  
4L,&a+)  
+,D82V7S  
O&">%aU1I  
*y>|  
% %2~%FVb  
`0{qfms  
yG>sBc  
r&L1jT.  
T16B2|C"Y  
icK U)  
]7h;MR  
;{n*F=%uC  
ab6D&  
uuCVI2|  
>rh<%55P`  
Q?9eu%G6I  
fK=vLcH  
):Ekf2  
]08~bL1Q  
x/92],.Mz  
['0^gN$:e  
a6o p  
^}GR!990  
z &[[4[  
8ZO~=e  
9893{}\cB  
061f  
NMP*q @  
j!`2Z@  
u\UI6/  
f<3r;F7  
#DH eEE  
[ 此帖被正禾在2017-09-27 18:59重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个