Linux çekirdeğinde, savunmasız cihazların çekirdek yığını belleğindeki bilgileri açığa çıkarmak için yararlanılabilecekleri bir bilgi ifşası açığı keşfedildi.
Güvenlik açığını keşfeden Cisco Talos’a göre , özellikle hata ( CVE-2020-28588 ), Linux çalıştıran 32 bit ARM cihazlarının / proc / pid / syscall işlevselliğinde bulunmaktadır. Dosyayı okurken sayısal değerlerin yanlış dönüştürülmesinden kaynaklanır.
Saldırganlar, birkaç komutla, çekirdek adres alanı düzenini (KASLR) atlamak için kullanılabilen 24 baytlık başlatılmamış yığın bellek çıkışı sağlayabilir. KASLR , saldırgan tarafından tahmin edilebilen öngörülebilir kalıpları önlemek için çeşitli nesneleri rastgele yerleştiren bir istismar önleme tekniğidir.
Güvenlik açığını tetikleyen kabuk komutları şunlardır:
- echo 0 > /proc/sys/kernel/randomize_va_space (# yalnızca daha temiz bir çıktı için gereklidir)
- $ while true; do cat /proc/self/syscall; done | uniq (# değişiklikleri bekler)
- $ while true; do free &>/dev/null; done (# tetikleyici değişiklik)
Cisco Talos araştırmacıları, sorunu ilk olarak yamalı bir Linux çekirdeği çalıştıran 32 bitlik bir ARM cihazı olan Azure Sphere cihazında (sürüm 20.10) keşfetti. Belirtilen sorun çekirdeğin v5.1-rc4 sürümünden beri mevcuttur.
Araştırmacılara göre “Kullanıcıların belirtilen çekirdek sürümlerini mümkün olan en kısa sürede güncellemeleri önerilir: Linux Çekirdek sürümleri 5.10-rc4, 5.4.66 ve 5.9.8”.
Yazının orijinalini buradan okuyabilirsiniz.
Kariyerime 26 yıl önce başladım. Windows ve Linux sistemlerinin kurulumu, yapılandırılması, yönetimi ve bakımı dahil olmak üzere birden fazla sistem üzerinde uzmanlaştım.
Açık kaynak dünyasındaki en son gelişmelerden haberdar olmaktan ve Linux hakkındaki en son araçları, özellikleri ve hizmetleri denemekten hoşlanıyorum.
Son 6 yıldır sistem ve ağ yöneticisi olarak görev yapıyorum ayrıca Pardus Dönüşüm Projesini yönetiyorum ve Pardus İşletim Sisteminin yaygınlaşması adına uğraş gösteriyorum.
Boş zamanlarımda açık kaynaklı uygulamaların Türkçe çevirisine katılıyorum ve The Document Foundation üyesiyim.