Artikel top billede

Linux-leverandører kæmper for at rette sårbarhed

Alvorlig sårbarhed i Linux-kernen skal rettes hurtigst muligt.

Computerworld News Service: Linux-leverandørerne har fået travlt med at rette en såkaldt ‘privilege escalation'-sårbarhed i Linux-kernen, der kan udnyttes af lokale angribere til at opnå adgang til systemet.

Sårbarheden, der er blevet identificeret som CVE-2012-0056, blev opdaget af Jüri Aedla og er opstået på grund af en fejl i Linux--koden, der skulle begrænse adgangen til '/proc//mem'-filen.

Ifølge Carsten Eiram, der er ledende sikkerhedsspecialist hos Secunia, blev fejlen introduceret i Linux-koden i marts 2011, og den påvirker versionerne 2.6.39 og derover.

"Alle Linux-distributioner med de kerne-versioner er nok sårbare," vurderer Carsten Eiram.

For sent ude med rettelse

Linus Torvalds indgav en rettelse den 17. januar, men inden Linux-leverandørerne havde nået at tilføje den i deres distributioner, så var der allerede dukket proof-of-concept exploit-kode op på nettet.

En af de mest komplette exploits til CVE-2012-0056 har fået navnet Mempodipper og er skrevet af sikkerheds-researcher og programmør Jason A. Donenfeld.

Mempodipper omgår forskellige faktorer, der ellers kunne begrænse effekten af sårbarheden i Linux-distributioner som Fedora eller Gentoo.

Ubuntu og Red Hat har allerede udsendt rettelser, der skal tage hånd om sårbarheden, og andre leverandører ventes at følge efter snart.

"Vi anbefaler, at systemadministratorerne bruger de rettelser," siger Carsten Eiram.

Søndag offentliggjorde Jason A. Donenfeld en detaljeret artikel, om hvordan sårbarheden kan udnyttes, som fungerede som inspiration for andre exploit-skabere.

En af dem var Jay Freeman, der på nettet er bedre kendt som 'saurik' - skaberen af Cydia app store til jailbreakede iPhones, iPads og andre iOS-enheder.

Oversat af Marie Dyekjær Eriksen.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Cloud & AI Festival 2025

Glæd dig til to dage, hvor du kan netværke med over 2.400 it-professionelle, møde mere end 50 it-leverandører og høre indlæg fra +90 talere. Vi sætter fokus på emner som AI; infrastruktur, compliance, sikkerhed og løsninger for både private og offentlige organisationer.

17. september 2025 | Læs mere


IT og OT i harmoni: Sikring uden at gå på kompromis med effektiviteten

IT og OT smelter sammen – men med risiko for dyre fejl. Få metoder til sikker integration med ERP, kundesystemer og produktion. Tilmeld dig og få styr på forskellene og faldgruberne.

24. september 2025 | Læs mere


NIS2: Vi gør status efter tre måneder og lærer af erfaringerne

Vær med, når vi deler oplevelser med implementering af NIS2 og drøfter, hvordan du undgår at gentage erfaringerne fra GDPR – og særligt undgår kostbar overimplementering.

30. september 2025 | Læs mere