已發(fā)布針對Linux內核漏洞的補丁����,研究人員在最近的Pwn2Own 2020黑客大賽中使用了該補丁���,以升級特權以在Ubuntu桌面上植根。
研究人員今年參加了“零日倡議”的Pwn2Own競賽�,他們利用Windows,Ubuntu桌面��,macOS�,Safari,Oracle VirtualBox和Adobe Reader中的漏洞獲得了總計270,000美元的收入���。
RedRocket CTF團隊的研究員Manfred Paul通過針對Ubuntu桌面的本地特權升級漏洞獲得了30,000美元的收益�����。他利用Linux內核中的一個不正確的輸入驗證錯誤將特權提升為root���。
“特定缺陷存在于eBPF程序的處理中。該問題是由于在執(zhí)行用戶提供的eBPF程序之前缺乏適當的驗證����。攻擊者可以利用此漏洞在內核上下文中提升特權并執(zhí)行代碼,” ZDI 在周二發(fā)布的一份咨詢中解釋說���。
該漏洞已被歸類為高嚴重性���,并且被分配了CVE標識符CVE-2020-8835��。Linux內核開發(fā)人員已修復了該錯誤���,Ubuntu已發(fā)布了更新和緩解措施來解決該漏洞。
紅帽表示����, Enterprise Linux 5、6����、7和8和Red Hat Enterprise MRG 2不會受到影響,因為它們使用的內核版本并未向后移植引入該漏洞的提交��。另一方面���,F(xiàn)edora受到影響。紅帽還指出���,利用此漏洞可能導致內核崩潰����,從而導致DoS狀況。
Debian聲稱只有Bullseye(其當前的測試發(fā)行版)受此漏洞的影響����。
Ubuntu安全工程師Steve Beattie已提供了有關該漏洞的一些技術細節(jié)。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
