Linux内核因存在多年的严重漏洞而获得修补程序

最近的Linux内核缺陷（CVE-2017-2636）在过去七年中一直存在于Linux内核中，它允许本地无特权用户在受影响的系统上获得根权限，或导致拒绝服务（系统崩溃）。

积极技术研究员亚历山大·波波夫在N#U HLDC Linux内核驱动程序–；负责处理高级数据链路控制（HDLC）数据–；这导致双重自由漏洞。

"双重自由“是应用程序在同一分配内存上调用free（）函数两次释放同一内存位置时发生的最常见内存损坏错误之一。

未经验证的攻击者可能会利用此漏洞在当前登录用户的安全上下文中注入和执行任意代码。

该漏洞影响了大多数流行的Linux发行版，包括Red Hat Enterprise Linux 6、7、Fedora、SUSE、Debian和Ubuntu。

由于该漏洞可追溯到2009年6月，Linux企业服务器和设备长期以来一直存在漏洞，但根据积极的技术，很难说该漏洞是否在野外被积极利用。

波波夫说：“这个漏洞很老，所以它在Linux工作站和服务器上广泛存在”。“要自动加载有缺陷的模块，攻击者只需拥有未经授权的用户权限。此外，攻击不需要任何特殊硬件”。

研究人员在使用谷歌开发的安全代码审计软件SyzCaller fuzzer进行系统调用测试时检测到了该漏洞。

波波夫随后向内核报告了该漏洞。org于2017年2月28日发布了漏洞利用原型，并提供了修复该问题的补丁。

该漏洞已经在Linux内核中进行了修补，并于3月7日发布了安全更新和漏洞细节。

因此，我们鼓励用户尽快安装最新的安全更新，但如果无法应用补丁，研究人员建议手动阻止有缺陷的模块（n_hdlc），以保护企业和家庭对操作系统的使用。