Linux今天:Linux上网时间。





一个古老的内核洞关闭了

2010年8月29日,15:03(3对讲[S])
(Other stories by 杰克边缘)

“Linux内核中的长期错误—quite possibly 自2003年第一个2.6发布以来—has been fixed by a 最近的补丁,但报告和近两个月的延迟 修复是提出一些眉毛。这是一个本地特权 可由恶意x客户触发的升级漏洞 强制服务器覆盖其堆栈。

“rafal wojtczuk的隐形问题发现了这个问题 在Qubes OS上工作时,实验室(ITL),ITL 基于虚拟化的,以安全为中心的操作系统。 ITL的首席执行官 Joanna Rutkowska描述了公司博客上的缺陷 Wojtczuk 8月17日发布了一篇论文[PDF] 细节。在那篇文章中,他指出他报告了这个问题 x.org安全团队于6月17日,并于6月20日该团队拥有 确定它应该在内核中固定。但它才拿到了 8月13日在实际发生之前。

“此外,补丁中的描述并不令人难以置信 即将介绍错误的安全影响。那就是 与Linus Torvalds保持披露安全漏洞的政策 通过代码,但不是在提交消息中,因为他感觉可能 帮助“脚本小孩”轻松利用缺陷。有过 关于Linux-kernel上的那个政策的无限争论,这里是LWN, 在其他地方,托尔瓦尔德对他的立场相当坚定。 虽然有些人称之为“沉默”的安全修复—and to some extent it is—它真的不应该出现 surprise."

完整的故事

相关故事: