कथित तौर पर नए ज़ीरो-डे का शोषण लिनक्स / Android (CVE-2016-0728) को प्रभावित करता है

रूस टुडे (20 जनवरी 2016) की रिपोर्ट में कहा गया है कि एक नया शून्य-दिन शोषण है जो कंप्यूटर और फोन के लिए लिनक्स और सभी लिनक्स-आधारित ओएस को प्रभावित करने के लिए खोजा गया है।

किस तरह का सौदा है; यह उबंटू को कैसे प्रभावित करता है; और हम कब सुरक्षा अपडेट की उम्मीद कर सकते हैं जो इस सुरक्षा छेद को बंद कर देगा?

kernel security

— IWPCHI
स्रोत

कब ? जितनी जल्दी हो सके, आपको विशिष्ट तिथि या समय नहीं दे सकते

— एडवर्ड टॉर्वाल्ड्स

कौन सी कर्नेल असुरक्षित है और भेद्यता को संबोधित करने के लिए क्या शमन है?

अधिक जानकारी यहाँ: networkworld.com/article/3023447/security/… और धारणा-

— point.io/2016/01/14/…

जवाबों:

इसे पहले ही पैच कर दिया गया है ।

लेख का हवाला देते हुए:

[...] "येवगेनी पैट्स ने पाया कि लिनक्स कर्नेल में सत्र कीरिंग कार्यान्वयन मौजूदा सत्र कीरिंग में शामिल होने पर ठीक से गणना नहीं करता है। एक स्थानीय हमलावर इसका उपयोग सेवा से इनकार कर सकता है (सिस्टम क्रैश) या संभवतः मनमाने ढंग से निष्पादित। प्रशासनिक विशेषाधिकारों के साथ कोड, "आज का Ubuntu सिक्योरिटी नोटिस USN-2872-1 , Ubuntu 15.10 के लिए पढ़ता है । [...]

तथा

[...] पैच अब उबंटू 15.10 (विली वेयरवोल्फ), उबंटू 15.04 (विविड वर्वेट) और उबंटू 14.04 एलटीएस (भरोसेमंद तहर) वितरण के लिए उपलब्ध हैं। [...]

तथा

[...] आप कर्नेल संकुल को उन्नत करने के लिए आग्रह किया जाता है linux-image-4.2.0-25 (4.2.0-25.30)उबंटू 15.10 (चतुर वेयरवोल्फ) के लिए, linux-image-4.2.0-1020-raspi2 4.2.0-1020.27उबंटू 15.10 (रास्पबेरी Pi 2), linux-image-3.19.0-47 (3.19.0-47.53)उबंटू 15.04 (विविड Vervet) के लिए, और linux-image-3.13.0-76 (3.13.0-76.120)Ubuntu 14.04 के लिए LTS (भरोसेमंद तहर)। [...]

तो पैच किए गए रिलीज़ के उपयोगकर्ता (15.10 / 15.04 / 14.04, और कैन्यिकल के अनुसार भी 12.04 ) (और चाहिए) को तुरंत चलाकर अपग्रेड करना चाहिए:

sudo apt-get update && sudo apt-get dist-upgrade

और बाद में कंप्यूटर को रिबूट करना।

— कोस
स्रोत

आपके जवाब का धन्यवाद! हम ASAP जानकारी के साथ पारित करेंगे!

— IWPCHI

@IWPCHI यदि आपको यह उत्तर उपयोगी लगा तो याद रखें कि आप इसे भी स्वीकार कर सकते हैं ।

— कोस

@IWPCHI कोस को धन्यवाद मत दो! ;-) इस का उत्तर मिला, तो बस थोड़ा ग्रे क्लिक ☑ संख्या अब यह सुंदर हरे में बदल के तहत। यदि आपको उत्तर पसंद नहीं है, तो 0 से नीचे के छोटे ग्रे-ऐरो पर क्लिक करें, और यदि आपको वास्तव में उत्तर पसंद है, तो थोड़ा ग्रे the और थोड़ा-ऊपर के तीर पर क्लिक करें ... यदि आपके कोई और प्रश्न हैं, तो बस एक और पूछें !

— फाबबी

बस पूरक @ कोस का अच्छा जवाब:

जीरो डे शोषण (CVE-2016-0728) शोधकर्ताओं द्वारा धारणा बिंदु पर पाया गया था ।

इसे 3.8 वेनिला कर्नेल में पेश किया गया था। तो उबंटू कर्नेल संस्करण 3.8 या बाद के वर्जन का उपयोग कर जारी करता है। जैसा कि @kos पहले ही उल्लेख किया गया है, एक समर्थित रिलीज़ पर आप पैच को स्थापित करने के लिए कर्नेल को अपग्रेड कर सकते हैं:

sudo apt-get update && sudo apt-get dist-upgrade

भेद्यता की जाँच कैसे करें ( यहाँ से ली गई है ):

स्थापित करें libkeyutils-dev:

sudo apt-get install libkeyutils-dev

इस सी प्रोग्राम को कॉपी करें गितुब से , परसेप्शन पॉइंट टीम द्वारा शोषण का परीक्षण करने के लिए लिखा गया है।

फ़ाइल में कोड सहेजें test_2016_0728.cऔर संकलित करें:

gcc test_2016_0728.c -o test_2016_0728 -lkeyutils -Wall

संकलित कार्यक्रम को सामान्य उपयोगकर्ता के रूप में चलाएं :

./test_2016_0728 -PP1

इसमें कुछ समय लगेगा, यदि आपका कर्नेल प्रोग्राम पूरा होने के बाद असुरक्षित है, तो आप देखेंगे कि आपका विशेषाधिकार बढ़ गया है यानी आप बन गए हैं root।

— heemayl
स्रोत

बहुत बुरा मैंने पहले ही अपग्रेड कर दिया था या मैंने निश्चित रूप से इसका परीक्षण किया होगा!

— कोस

@ os उम्म ... आपके लिए बुरा: पी

— हेमायेल

क्या आपने शोषण को पुन: उत्पन्न करने का प्रबंधन किया था? मुझे ऐसा कोई नहीं मिला जिसने अब तक ऐसा किया हो।

— जकूज़ी

@ जकूजी मैंने धारणा बिंदु के लेख को पढ़ने से पहले अपने कर्नेल को अपग्रेड किया .. लेख के अनुसार यह तरीका है ..

— heemayl

@Jakuje मैं अभी अपने पाई पर शोषण का परीक्षण कर रहा हूं, जो कि रास्पियन जेसी का एक अप्रकाशित संस्करण चला रहा है। यह चल रहा है, लेकिन बहुत कुछ नहीं हो रहा है।