阿里云
发表主题 回复主题
  • 2776阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE–2017–1000253:Linux PIE/stack 内存破坏漏洞

级别: 论坛版主
发帖
240
云币
472
2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的漏洞信息,漏洞编号为:CVE-2017-1000253,可以通过该漏洞实现本地权限提升,存在安全风险,相关受影响的Linux发行版也发布了该漏洞相关的更新补丁。 C 3b  
具体详情如下:                                                                                                                                          
漏洞编号: qJKD| =_  
CVE–2017–1000253 `fj(xrI  
漏洞名称: dt<PZ.  
Linux PIE/stack 内存破坏漏洞 $*{PUj  
官方评级: s'J8E+&5  
高危 #92 :h6  
漏洞描述: rX)PN3TD  
Linux环境下,如果应用程序编译时有“-pie”编译选项,则load_elf_binary()将会为其分配一段内存空间,但是load_elf_ binary()并不考虑为整个应用程序分配足够的空间,导致PT_LOAD段超过了mm->mmap_base。在x86_64下,如果越界超过128MB,则会覆盖到程序的栈,进而可能导致权限提升。 A!x_R {,yH  
漏洞利用条件和方式: Jr==AfxyT  
本地提权 &1 {RuV&t  
漏洞影响范围: !Z`~=n3bk  
  • 2017年09月13日前发行的 CentOS 7 全版本(版本1708前)
  • 2017年08月01日前发行的 Red Hat Enterprise Linux 7 全版本(版本7.4前)
  • 所有版本的CentOS 6 和 Red Hat Enterprise Linux 6
1BmevE a)  
漏洞检测: H*?U@>UU  
开发人员检查内核版本是否在受影响范围内。 80x %wCY`  
漏洞修复建议(或缓解措施): FDkRfhK  
目前各大发型厂商已经发布了最新版本内核补丁,建议用户升级Kernel 3.10.0-693及以后版本。 j_H{_Ug  
情报来源: 'RC(ss1G  
  • http://seclists.org/oss-sec/2017/q3/541
  • http://www.openwall.com/lists/oss-security/2017/09/26/16
  • https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt
(&=-o(  
i-vhX4:bd  
!=_:*U)-'  
=hH>]$J[  
DyD#4J)E  
u`xmF/jhQ  
hCD0Zel  
HpC|dtro  
*!ZU" q}i  
R#"kh/M  
FVPhk2  
)O#]Wvr  
|CexP^;!U  
>JkQ U e  
{OL*E0  
:z_D?UQ  
F42r]k  
(`5No:?v<  
$W<H[k&(B  
-v'7;L0K  
Ok/~E  
EDcR:Dw3  
o3P`y:&  
s#/JMvQ#  
>eQ;\j  
zm-j FY?  
pk%I98! Jy  
\K.i8f,  
<W2}^q7F^  
kj~)#KDN  
d8`^;T ;}d  
&W:Wv,3  
4(o: #9I  
$qYtN`b,  
>*(4evU  
Y5&Jgn.l  
 TOdH  
Wp/!;  
y8HLrBTza  
Z#BwJHh  
m3 C&QdjRp  
;2q;RT`h  
pN6!IxN$  
j*t>CB4  
g e)g?IP4  
5Al 59]  
U>7"BpC  
[ 此帖被正禾在2017-09-27 18:59重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 79 - 58 = ?
上一个 下一个