В ядрі Linux знайшли найнебезпечнішу вразливість за останні кілька років

У Linux знайшли вразливість (CVE-2022-0847), яка дозволяє неперевіреним користувачам перезаписувати вміст будь-яких файлів. Можна встановлювати бекдори, створювати неавторизовані акаунти користувачів, змінювати скрипти, які використовуються в привілейованих сервісах або застосунках, тощо.

Вразливість отримала назву Dirty Pipe — за аналогією з проблемою 2016 року Dirty Cow, яка дозволяла неперевіреним користувачам підвищувати привілеї в системі. Тоді дослідники показали, як можна отримати root-доступ до будь-якого телефону Android незалежно від версії мобільної ОС.

Зазначається, що Dirty Pipe легша в експлуатації за свою попередницю — і також зачіпає системи Android.

The lowest user «nobody» could use this simple bash script and allows anybody to overwrite data in arbitrary read-only files (CVE-2022-0847)

It is similar to CVE-2016-5195 «Dirty Cow» but is easier to exploit. t.co/i8pO7EEHTx #infosec #CVE pic.twitter.com/wzBrtjN4Qw

— nopslide (@nopsIide) March 7, 2022

Hacked up a quick Dirty Pipe PoC that spawns a shell by hijacking (and restoring) the contents of a setuid binary. t.co/q8NtTlbgOZ pic.twitter.com/jxYUKYVCBo

— BLASTY (@bl4sty) March 7, 2022

Вперше ця проблема з’явилася у ядрі Linux 5.8, яке вийшло в серпні 2020 року і вплинула практично на всі Linux-дистрибутиви. Виправили її минулого місяця — з випуском версій 5.16.11, 5.15.25 та 5.10.102. Виправлення також додали в ядро, що використовується в Android.

Похожие статьи:
Всем привет. В прошлой статье я описывал, что изменилось в ASP.NET для разработчика. В продолжении цикла хочу рассказать о том, как и куда...
За два тижні у Києві відбудеться ІТ-конференція DOU Day 2025 — і цього разу вона буде вдвічі довшою, ніж торік. На сайті вже є перша версія...
Другий міський фестиваль винахідників Kyiv Mini Maker Faire відбудеться 14 листопада на ВНДХ. Він об’єднає більше 100 учасників, які створюють,...
У новому випуску DOU Podcast говоримо про те, як відбуватиметься повоєнна відбудова України, для чого Мінцифра створила новий кластер...
Редакція DOU відновлює рубрику «Кар’єра в IT», де ми детально описуємо специфіку окремих IT-професій. Цього разу розповідаємо, чим...
Яндекс.Метрика