Linux内核项目成为CVE编号机构 后续未修补的漏洞将不再提前分配CVE

Linux内核项目成为CVE编号机构后续未修补的漏洞将不再提前分配CVE日前LinuxKernel宣布已成为Linux中发现的漏洞的CVE编号机构(CNA),后续至少关于内核方面的漏洞,将由LinuxKernel项目自行分配,不再由MITRE分配CVE编号。为什么会引起不满呢?LinuxKernel项目组认为整个系统(指的是漏洞披露系统)很多方面都被破坏了,由于Linux内核金额处在系统的底层,几乎任何错误都可能被利用拿来危害内核的安全,但当错误被修复时,利用的可能性通常并不明显。过去CVE分配团队过于谨慎,将CVE编号分配黑他们发现或收到的任何错误修复,这也是为什么LinuxKernel团队发布了看似大量的CVE相关的东西。接下来LinuxKernel未修复的安全问题不会提前分配CVE编号,只有在漏洞被修复后才会分配CVE编号,这样可以通过正确的方式来追踪原始修复的gitcommitID。此外对于任何非稳定版、非LTS版这类正式版本的LinuxKernel发现的任何漏洞,都不会再分配CVE编号,因为这类版本本身就不是正式支持的。最后LinuxKernel内核团队也感觉cve.org小组和董事会,因为内核团队申请成为CNA的流程非常顺利并获得了他们的帮助,让内核团队成为CNA变成现实。...PC版:https://www.cnbeta.com.tw/articles/soft/1419043.htm手机版:https://m.cnbeta.com.tw/view/1419043.htm

相关推荐

封面图片

慢雾余弦:铭文问题被分配 CVE 编号意味着定性为漏洞

慢雾余弦:铭文问题被分配CVE编号意味着定性为漏洞慢雾创始人余弦在社交媒体上发文称,铭文这个问题被分配了个CVE编号,这是釜底抽薪了,态度鲜明地定性漏洞了:CVE编号不是什么新鲜事,许多安全团队/个人都可以申请,可能比特币生态相关角色会看重这个,CVE编号在安全行业是最知名的漏洞证明之一。早些时间报道,BitcoinCore开发者LukeDashjr表示,此前铭文(Inscription)正在利用BitcoinCore客户端的一个漏洞向区块链发送垃圾信息。此漏洞已被分配标识符CVE-2023-50428。
封面图片

安全网站披露 Linux 内核漏洞允许远程接管

安全网站披露Linux内核漏洞允许远程接管卡巴斯基实验室安全新闻服务Threatpost网站发布的消息说:该漏洞(CVE-2021-43267)存在于允许Linux节点相互发送加密密钥的TIPC消息类型。Linux内核的透明进程间通信(TIPC)模块中存在一个关键的堆溢出安全漏洞,可能允许本地利用和远程代码执行,导致系统完全被破坏。TIPC是一个点对点协议,由Linux集群内的节点以优化的方式相互通信;它可以实现各种类型的消息,用于不同的目的。根据SentinelOne的SentinelLabs,有关的错误(CVE-2021-43267)特别存在于一种允许节点相互发送加密密钥的消息类型中。当收到时,这些密钥可用于解密来自发送节点的进一步通信。https://threatpost.com/critical-linux-kernel-bug/176000/漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43267
封面图片

Linux 出现新的本地提权漏洞:

Linux出现新的本地提权漏洞:https://www.zdnet.com/article/major-linux-policykit-security-vulnerability-uncovered-pwnkit/漏洞编号:CVE-2021-4034影响包括:Ubuntu,Debian,Fedora,andCentOS等著名linux系统。危险等级:高危此漏洞可能就2009年以来就被引入。twitter上已有人发布利用漏洞的脚本。正式修复程序未发布。类似漏洞:CVE-2021-3560(已修复)攻击手段可以参考:https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
封面图片

研究人员发现一个新的 Linux 内核提权漏洞

研究人员发现一个新的Linux内核提权漏洞Linux内核中的一个容易被利用的漏洞(CVE-2022-0847)可以被本地无权用户利用,通过利用已经公开的漏洞在脆弱的系统上获得root权限。由安全研究员MaxKellermann发现的这个缺陷--他称之为DirtyPipe,因为它与DirtyCow缺陷相似--已经在Linux内核和Android内核中打了补丁。受影响的Linux发行版正在推送带有该补丁的安全更新。...Kellerman写的关于他如何发现该漏洞的文章是安全研究人员的一个重要信息来源,包括他的PoC漏洞。其他研究人员也想出了一些变化。这个漏洞显然很容易被利用,尽管它不能被远程利用--攻击者需要事先访问一个有漏洞的主机来部署利用程序。尽管如此,如果DirtyCow缺陷被攻击者在实际利用,你可以肯定他们也会利用DirtyPipe。——
封面图片

Linux内核被发现重大安全漏洞

Linux内核被发现重大安全漏洞研究人员在Linux内核中发现了一个漏洞,使一些低权限账户有可能在一些流行的发行版上获得root权限,包括Ubuntu、Debian和Fedora都受到了影响。该漏洞被命名为Sequoia,它存在于文件系统层。这个安全问题被认为影响了自2014年以来发布的所有版本的Linux内核,这意味着大量的发行版都有漏洞。具体来说,该漏洞是一个size_t到int的类型转换漏洞,可以被利用来提升权限。研究人员成功利用了这种不受控制的越界写入,实现了在Ubuntu20.04、Ubuntu20.10、Ubuntu21.04、Debian11和Fedora34工作站的默认安装上获得了完全的root权限;其他Linux发行版当然也有漏洞,而且可能被利用。利用这一漏洞完成提权需要大约5GB的内存。
封面图片

谷歌三星抢先修补了Android智能机的Dirty Pipe漏洞

谷歌三星抢先修补了Android智能机的DirtyPipe漏洞本周早些时候,Google发布了2022年4月份的Android安全更新,但它并未包含对上月曝光的“DirtyPipe”漏洞的修补。庆幸的是,尽管大多数厂商可能要拖到5月才推出补丁,但谷歌和三星已经先行一步。据悉,作为Linux内核中发现的一个安全漏洞,CVE-2022-0847会允许某人在只读进程中注入并覆盖数据,而无需root或任何管理员权限。XDA-Developers指出:DirtyPipe漏洞已被用于在Android设备上实现临时root访问,但也很容易被恶意软件和其它未知软件获得系统访问权限。目前Linux内核(Kernel5.16.11、5.15.25和5.10.102)已经完成CVE-2022-0847安全漏洞的修复,但可惜谷歌尚未将它全面包含到2022年4月份的Android安全更新中。不愿等待5月安全更新的朋友,如果你正在使用Pixel6/6Pro,那现在已经能够获取谷歌在周四发布的AndroidQPR3Beta2(包含该内核补丁)。与此同时,三星也率先为旗下Galaxy设备的4月Android更新引入了该修复程序(有在安全公告中提及CVE-2022-0847),且被验证能够抵御DirtyPipe攻击。尴尬的是,小米12/12Pro的速度太过拖沓——自2月首发以来,尚未向用户提供过安全更新,此外一加等Android智能机厂商也尚未发布其4月更新。在此之前,还请广大Android智能机用户保持良好的使用习惯,尤其注意不安装来源不明的APK文件。——cnBeta

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人