几乎所有Linux发行版都存在严重的远程代码执行漏洞 漏洞评分达到9.9/10分
山外的鸭子哥
#安全资讯 几乎所有 Linux 发行版都存在严重的远程代码执行漏洞,漏洞评分高达 9.9/10 分。目前只知道该漏洞可以被用来无需身份验证远程执行代码,具体 CVE 编号尚未分配,并且两周后漏洞被披露时是否有可用的安全补丁都是个问题。查看全文:https://ourl.co/105973
一些在 Linux 发行版中存在十多年的远程代码执行漏洞将在不到两周的时间内披露,这些漏洞大约有 3~6 个,目前具体的 CVE 编号尚未公布。
其中 Ubuntu 发行商 Canonical 和 RHEL 发行商 RedHat 等已经确认这些漏洞的严重性,如果这些漏洞遭到利用可能会给整个业界造成灾难。
目前最大的问题在于开发者们仍然在争论漏洞是否会影响安全性,发现漏洞的研究人员表示对于整个处理和披露过程感到非常沮丧。
具体原因似乎是漏洞提交后部分开发者不愿意承认,尽管研究人员提供了多个概念验证系统性地反驳了一些开发者的假设,但整个漏洞的处理过程依然缓慢。
更新:据目前已知消息,此漏洞与 UNIX 打印类相关组件有关,攻击者只需要借助 UDP 631 发送特定命令即可执行。
有多缓慢呢?大约在 2 周后这一系列漏洞会被公开披露,但很有可能到时候还有不少 Linux 发行版没有提供公开可用的补丁,也就是漏洞披露后都没法修复。
研究人员称赞 Canonical 在整个漏洞协调和处理过程中的努力,不过如果只有 Ubuntu 和 RHEL 得到修复那显然是不够的,其他 Linux 发行版暂时还没有看到太多消息。
有开源社区成员称这件事对 Linux 和开源社区来说都是极其糟糕的公关,无论这些漏洞是否属于典型的安全缺陷,也都应该拿出来讨论而不是否认或诋毁。
最后还不清楚 FreeBSD 等基于 BSD 的项目是否受此漏洞影响,建议使用 Linux 系统尤其是在服务器上使用 Linux 的开发者和企业关注后续情况。
![[测试] 阿里云200M香港轻量应用服务器硬件与网络评测 基本对得起售价](https://www.landiannews.com/wp-content/uploads/2024/12/image-1-2024-12-26-08-27-19-20.png)
