Linux kernel古老漏洞曝光,最早可追溯到 2009 年!影响到了红帽、Ubuntu、Debian 等多个发行版。虽然在 Linux kernel 中修复了本地特权升级的缺陷,但几个上流发行版尚未发布更新。管理员应计划减轻 Linux 服务器和工作站本身的漏洞,并监视其更新计划的发行版。 俄罗斯技术研究员 Alexander Popov 称,Linux kernel 4.10.1(CVE-2017-2636)的 n_hdlc 驱动程序(drivers / tty / n_hdlc.c)中存在的竞争条件缺陷可能导致在访问 n_hdlc.tbuf 时,n_hdlc_release()中会出现 double-free 错误。
Double Free 其实就是同一个指针 free 两次。虽然一般把它叫做 double free,其实只要是 free 一个指向堆内存的指针都有可能产生可以利用的漏洞。能够在 tty 设备上设置 HDLC 线路规则的本地无特权用户可以利用此缺陷,并从而增加他们在系统上的特权。 该漏洞在 CVSS 3.0 下的基本得分为 7.8,它能够让本地无权限的用户获取 root 权限,或者发动 DoS 让系统崩溃。4.10.1 以上的版本都存在这一问题,官方人员表示,该漏洞将影响 Linux 服务器,工作站以及虚拟机,但对大多数容器不造成影响。更多消息,大家可以关注本次专辑…… 一位用户向 Xfce 项目递交了一个 Bug 报告,标题是“The default desktop startup screen causes damage to monitor!”Xfce是类UNIX操作系统上的轻量级桌面环境,遵循UNIX的模块化和复用性哲学传统。它包含大量组件,有现代桌面环境所应具有的完整功能。
这位用户声称默认的桌面启动屏幕的”老鼠动画“会引发猫的好奇心,猫会伸出爪子抓屏幕,导致屏幕出现刮痕。他同时还递交了补丁来修复这个问题,就是——将桌面上的老鼠改成狗。更多内容,大家不妨在本次专辑里了解一下…… OpenSSL 宣布将其许可证更改为 Apache License v 2.0,并启用了一个新网站。该网站将帮助 OpenSSL 团队联系迄今所有为该项目做出贡献的人完成许可证的更换。
OpenSSL 是目前非常流行的加密程序库,此前采用的许可证是 OpenSSL License 和 SSLeay License,其中 OpenSSL License 是 Apache License 1.0 许可证,而 SSLeay License 则是 4-clause BSD,这两个许可证与 GPL 许可证不兼容,GPL 软件使用 OpenSSL 时需要给予其例外。这次的许可证更改后,OpenSSL 将能更自由的整合到 GPL 软件中。 OpenSSL 此次更换许可证的行动,得到了许多人的赞赏和认同。软件自由法律中心的法律总监 Mishi Choudhary 说:“OpenSSL 作为应用最广泛的 FOSS 加密软件,将更加方便地被纳入到免费和开源软件中”。 Linux基金会首席技术官 Nicko van Someren 也表示:“ Linux 基金会很高兴看到 OpenSSL 项目依据 Apache 许可证重新授权。当将 FOSS 项目纳入其他项目和产品时,使用一个标准并易于理解的许可证是非常重要的。OpenSSL 这一许可举措将进一步确保它坐稳世界上最重要和最受依赖的开源项目之一的地位”更多情况,大家可以关注本次专辑。 |
