长 亭 漏 洞 预 警
Libc Realpath缓冲区下溢漏洞,可导致Linux本地提权。
2018年1月11日由Jakub Wilk发现并公布该漏洞,CVE编号为CVE-2018- 1000001,利用该漏洞可以实现Linux系统本地提权。
漏洞描述
在Ubuntu16.04 glibc 2.23机器中测试提权成功。
影响范围
Ubuntu受影响版本列表
Ubuntu 17.10
Ubuntu 16.04 LTS
Ubuntu 14.04 LTS
Fedora的所有版本
Red Hat受影响版本如下图
Debian受影响库版本如下图
SUSE受影响产品
当前已知受影响的是调用getcwd()返回相对路径的函数库,其他库或工具也可能受影响。
安全补丁
目前SUSE、Red Hat、Fedora和Debian等已发布修复补丁,请及时安装系统安全更新。
FEDORA-2018-8e27ad96ed
SUSE-SU-2018:0074-1
Debian glic升级到2.26-4,eglibc还未修复
Ubuntu 更新到以下版本:
参考资料
https://www.halfdog.net/Security/2017/LibcRealpathBufferUnderflow/
https://usn.ubuntu.com/usn/usn-3534-1/
领取专属 10元无门槛券
私享最新 技术干货