В Linux устранены две уязвимости |
|
Эксплоиты к брешам были размещены в открытом доступе через пару минут после выпуска исправлений. Исследователи безопасности из Qualys нашли две уязвимости (CVE-2015-3245 и CVE-2015-3246) увеличения привилегий в приложении userhelper и библиотеке libuser из дистрибутивов на базе пакетной базы Red Hat. Эксплуатация брешей разрешает вполне скомпрометировать целевую совокупность. Примечательно, что эксплоиты, ориентированные на приложения, применяющие libuser для управления учетными записями пользователей, были размещены в открытом доступе всего пару минут спустя после выпуска исправлений. Согласно точки зрения пользователей Reddit, это «расстроило некоторых сотрудников Red Hat». Уязвимость в программе userhelper, предназначенной для смены информации о пользователе, существует по причине того, что при разборе передаваемых опций не осуществляется проверка на наличие знака перевода строчка. Это разрешает атакующему осуществить DoS-атаку на целевую совокупность. Вторая брешь, распознанная в библиотеке libuser, связана с изюминкой работы с файлом /etc/passwd. При помощи определенных манипуляций и одновременным применением первой уязвимости, удаленный пользователь может выполнить произвольный код с повышенными привилегиями. |
