阿里云
发表主题 回复主题
  • 2546阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE–2017–1000253:Linux PIE/stack 内存破坏漏洞

级别: 论坛版主
发帖
237
云币
465
2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的漏洞信息,漏洞编号为:CVE-2017-1000253,可以通过该漏洞实现本地权限提升,存在安全风险,相关受影响的Linux发行版也发布了该漏洞相关的更新补丁。 >x 6$F*:W}  
具体详情如下:                                                                                                                                          
漏洞编号: DUOSL  
CVE–2017–1000253 ;x~[om21;  
漏洞名称: }y P98N5o  
Linux PIE/stack 内存破坏漏洞 V9r58hbVT  
官方评级:  l6uU S  
高危 MI<XLn!*  
漏洞描述: PdNxuy  
Linux环境下,如果应用程序编译时有“-pie”编译选项,则load_elf_binary()将会为其分配一段内存空间,但是load_elf_ binary()并不考虑为整个应用程序分配足够的空间,导致PT_LOAD段超过了mm->mmap_base。在x86_64下,如果越界超过128MB,则会覆盖到程序的栈,进而可能导致权限提升。 Vo-]&u&cr  
漏洞利用条件和方式: ; rJ  
本地提权 Df L>fk  
漏洞影响范围: _Sxp|{H0  
  • 2017年09月13日前发行的 CentOS 7 全版本(版本1708前)
  • 2017年08月01日前发行的 Red Hat Enterprise Linux 7 全版本(版本7.4前)
  • 所有版本的CentOS 6 和 Red Hat Enterprise Linux 6
d;c<" +  
漏洞检测: !YJ^BI    
开发人员检查内核版本是否在受影响范围内。 SjRR8p<   
漏洞修复建议(或缓解措施): t1h2ibO  
目前各大发型厂商已经发布了最新版本内核补丁,建议用户升级Kernel 3.10.0-693及以后版本。 W2 ([vRT  
情报来源: H%:u9DlEK/  
  • http://seclists.org/oss-sec/2017/q3/541
  • http://www.openwall.com/lists/oss-security/2017/09/26/16
  • https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt
<78LB/:  
%M_5C4&6  
:.,3Zw{l  
S.kFs{;1x  
YvP u%=eF  
J@I-tS  
iTq~ ^9G  
}:5>1FfX=  
>=Z@)PAe  
^M Zdht   
V^^nJs tV  
b[I;6HW  
[@_zsz,`L  
}nW)+  
RL;>1Q,H  
yv!,iK9  
U.@j !UrZ  
cKj6tT"=O  
N>A*N,+  
UkY `&&ic  
bof{R{3q  
L,F )l2  
R{"7q:-  
q;kN+NK64  
gl4|D  
3GSoHsNk  
NNQro)Lpe  
M zLx2?  
L|3wG Y9E  
5[Ryc[  
srN>pO8u~  
k_=~ObA$g  
3psCV=/z  
:q2tda  
\sIRV}Tk}N  
oJk$ +v6  
<h/\)bPB  
<9S?wju4W'  
J]f\=;z;<a  
R; X8%'   
<N%8"o  
GLe(?\Ug=  
`ecuquX'  
#_+T@|r  
@5%cP  
dQ8}mH!  
3:rH1vG.m  
[ 此帖被正禾在2017-09-27 18:59重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个