阿里云
发表主题 回复主题
  • 1628阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE–2017–1000253:Linux PIE/stack 内存破坏漏洞

级别: 论坛版主
发帖
209
云币
390
2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的漏洞信息,漏洞编号为:CVE-2017-1000253,可以通过该漏洞实现本地权限提升,存在安全风险,相关受影响的Linux发行版也发布了该漏洞相关的更新补丁。 P8jXruZr  
具体详情如下:                                                                                                                                          
漏洞编号: -,NiSh}A  
CVE–2017–1000253 +;7Rz_.6f  
漏洞名称: E 9_aNYD  
Linux PIE/stack 内存破坏漏洞  l`x;Og>a  
官方评级: kYwk'\s  
高危 Zvd^<SP<?  
漏洞描述: 5I ,5da  
Linux环境下,如果应用程序编译时有“-pie”编译选项,则load_elf_binary()将会为其分配一段内存空间,但是load_elf_ binary()并不考虑为整个应用程序分配足够的空间,导致PT_LOAD段超过了mm->mmap_base。在x86_64下,如果越界超过128MB,则会覆盖到程序的栈,进而可能导致权限提升。 IP'gN-#i  
漏洞利用条件和方式: .,t"i C:E  
本地提权 "G\OKt'Z  
漏洞影响范围: #wH<W5gSZ  
  • 2017年09月13日前发行的 CentOS 7 全版本(版本1708前)
  • 2017年08月01日前发行的 Red Hat Enterprise Linux 7 全版本(版本7.4前)
  • 所有版本的CentOS 6 和 Red Hat Enterprise Linux 6
\; Io  
漏洞检测: 4R5+"h:  
开发人员检查内核版本是否在受影响范围内。 E5.3wOE  
漏洞修复建议(或缓解措施): 2 fp\s5%J}  
目前各大发型厂商已经发布了最新版本内核补丁,建议用户升级Kernel 3.10.0-693及以后版本。 3-4' x2   
情报来源: :Hdn&a i  
  • http://seclists.org/oss-sec/2017/q3/541
  • http://www.openwall.com/lists/oss-security/2017/09/26/16
  • https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt
W]p)}#FR  
o*7`r~  
m\~{l=jIS  
Gj]*_"T  
?9#}p  
^<fN  
.Ua|KKK C  
s u]x  
mF\r]ovVm  
"*O(3L.c-  
0q`n]NM  
Bi?+e~R  
i;!#:JX  
0`:B#ten  
j}NGyS" =  
g+Z~"O]$M  
{R b|";  
 S^;D\6(r  
g7G=ga  
6j9P`#Lt  
Y <;A989D  
~Ti  
sV{M#UF2  
O 4xV "\  
umV5Y`  
__jFSa`at  
c%,~1l  
v^_OX $=,  
_bp9UJ  
o'S&YD  
lTOO`g  
-x i]~svg  
^|KX)g  
~$7fU  
z Qtg]@S  
<=KtRE>$  
#SiOx/  
tm27J8wPzV  
ZsjDe{TH  
G5~ Jp#uA  
:BFecS&i5  
kae &,'@JF  
1muB* O  
W| S{v7[l  
;Js-27_0  
6`$HBX%.K  
-A}U^-'a}  
[ 此帖被正禾在2017-09-27 18:59重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个