Специалисты по безопасности нашли уязвимости в версии ядра Linux, которая используется во многих популярных дистрибутивах.
Как утверждается в рекомендациях SecurityFocus, три бага позволяют неавторизованным пользователям считывать или записывать информацию в ячейки памяти ядра операционной системы или обращаться к определенным ресурсам определенных серверов. Эти уязвимости могут использоваться локальными злоумышленниками для организации атак на отказ в обслуживании, раскрытия конфиденциальной информации или получения привилегий root.
Ошибки присутствуют в трех версиях ядра Linux, вплоть до версии 2.6.24.1, в которой они исправлены, и проявляются в таких дистрибутивах, как Ubuntu, Turbolinux, SuSE, Red Hat, Mandriva, Debian и другие. Как сообщается в бюллетене Secunia, проблема кроется в трех функциях системного вызова fs/splice.c. «В ядре 2.6.23 функции системного вызова были расширены, что привело к критическим уязвимостям», пишет в своем бюллетене iSEC Security Research. Secunia не согласна с оценкой серьезности бага и присвоила ему более низкий рейтинг опасности.
На хакерском сайте milw0rm.com опубликован пример программы, позволяющей использовать обнаруженные уязвимости, а Core Security Technologies разработала коммерческий эксплойт. Эксперты рекомендуют системным администраторам немедленно обновить ядро операционной системы.
В прошлом месяце Министерство внутренней безопасности США при помощи своей схемы анализа кода выявило в среднем по одной проблеме безопасности на 1000 строк кода в 180 популярных программных проектах open-source. А Secunia в прошлом году подсчитала, что число проблем безопасности в операционной системе open-source Red Hat Linux и браузерах Firefox значительно превышает этот показатель у аналогичных продуктов Microsoft.