События

В системном менеджере Systemd обнаружена опасная уязвимость

Менеджер системы и служб для Linux Systemd содержит опасную уязвимость, которая предоставляет возможность в лучшем случае вызвать сбой в работе системы, а в худшем - выполнить произвольный код.

Проблема связана с фоновым процессом systemd-networkd и затрагивает встроенный клиент DHCPv6. Ошибка (CVE-2018-15688) существует из-за некорректной проверки размера временного буфера, используемого для формирования пакета, отправляемого на сервер DHCPv6. По умолчанию в systemd-networkd клиент DHCPv6 активируется автоматически при получении анонса от маршрутизатора IPv6. Таким образом атакующий может отправить специально сформированный анонс с подконтрольного ему DHCP-сервера, расположенного в сети организации или интернет-провайдера, проэксплуатировать уязвимость и вызвать отказ в обслуживании системы либо выполнить произвольный код.

Как пояснил специалист Google Феликс Вилхелм (Felix Wilhelm), обнаруживший проблему, при обработке DHCP-опции server-id размером больше 493 байт в функции dhcp6_option_append_ia() возникает целочисленное переполнение, которое можно использовать для контролируемой перезаписи данных за пределами буфера.

Проблема распространяется на дистрибутивы Ubuntu , Arch и Fedora Linux, наличие уязвимости в openSUSE/SUSE уточняется, опция systemd-networkd не включена по умолчанию в Debian и RHEL /CentOS 7.

Разработчик Systemd Леонард Петтеринг (Leonard Poettering) уже разместил на GitHub патч, устраняющий уязвимость.

Источник

Автор: Сергей Куприянов
29.10.2018 (10:38)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.