×

旧的Linux存储错误,新的安全补丁

作者:天空2021.03.16来源:Web前端之家浏览:486评论:0
关键词:Linux
微信公众号

微信公众号

Linux的优点之一是它支持许多旧硬件。仅需一点点工作,几乎就没有运行Linux的计算硬件。那是个好消息。坏消息是,有时在旧程序中会发现古老的安全漏洞。Linux的小型计算机系统接口(SCSI)数据传输驱动程序就是这种情况。安全公司GRIMM研究人员在主干Linux内核的一个几乎被遗忘的角落中发现了三个安全漏洞-CVE-2021-27365,CVE-2021-27363和CVE-2021-27364。其中的前两个具有高于7的通用漏洞评分系统(CVSS)评分,这是很高的。尽管您可能没有使用过SCSI或iSCSI驱动器,但这些15年的错误仍然存在。其中之一可用于本地特权升级(LPE)攻击。换句话说,普通用户可以使用它们成为root用户。

不要让“本地”一词欺骗您。正如GRIMM软件安全负责人Adam Nichols所说:“这些问题使任何可远程利用的漏洞的影响更加严重。运行面向公共服务器的企业的风险最大。”

的确,大多数台式机发行版默认未加载易受攻击的SCSI代码。但这在Linux服务器上是另一回事。如果您的服务器需要RDMA(远程直接内存访问)(一种高吞吐量,低延迟的网络技术),则可能会自动加载rdma核心Linux内核模块,从而带来易受攻击的SCSI代码。 

哎呀!

利用漏洞并不容易,但是GRIMM已发布了概念证明漏洞利用,其中显示了如何利用其中的两个漏洞。现在已经显示出这种方式,您可以指望攻击者尝试一下。 

特别是CentOS 8,红帽企业Linux(RHEL) 8和Fedora系统,如果安装了rdma-core软件包,则没有特权的用户可以自动加载所需的模块,这些系统很容易受到攻击。SUSE Linux Enterprise Server(SLES)也可能受到攻击。Ubuntu 18.04和更早的版本也容易受到攻击。而且,当然,如果您实际上在使用SCSI或iSCSI驱动器,则可能会受到攻击。

幸运的是,这些错误已被修补。因此,除非您愿意冒险使用Linux服务器,否则建议您尽快修补Linux发行版。

温馨提示:本文作者系 ,经Web前端之家编辑修改或补充,转载请注明出处和本文链接:
https://jiangweishan.com/article/hulianwagn20210316.html

网友评论文明上网理性发言 已有0人参与

发表评论:

最新留言

  • aj008

    有时间的话,还是两个都要学哦,未来的市场谁也说不定。...

  • 访客

    看你的公司用啥了,其实感觉环境第一位。...

  • Web前端之家

    vue的生态应用在国内很强大,但是react更加适用于中大型公司。...

  • agg151

    感觉在国内,VUE应该要排第一。...

  • qianduan008

    三角形工具一直在用,这个CSS编辑器也很不错,希望继续分享新的前端工具哟!...

  • Web前端之家

    其实还好,但是中大型公司都是在用React。vue比较好入门。...

  • abner

    React比VUE难学啊。...

  • 访客

    多学技术永远是最好的...

首页|JavaScript|HTML|HTML4|HTML5|CSS3|开发工具|性能优化|移动开发|前端教程|性能优化|开发工具|酷站欣赏|UI设计|前端教程

Copyright © 2021 Web前端之家(www.jiangweishan.com) 版权所有 All Rights Reserved.
粤ICP备12067512号-1

Copyright Your WebSite.Some Rights Reserved.

Powered By Z-BlogPHP 1.6.7 Valyria