CVE-2019-11815
研究人员在Linux kernel中发现一个竞争条件漏洞,该漏洞会导致UAF,致使系统受到远程攻击,受影响的是kernel版本小于5.0.8的所有 Linux 发行版。
攻击者可以利用Linux kernel的net/rds/tcp.c中的rds_tcp_kill_sock TCP/IP实现来触发DoS状态,并在有漏洞的Linux机器上远程执行代码。
攻击者需要伪造TCP包,然后发送给有漏洞的Linux盒,这样可以触发UAF错误并使攻击者可以在目标系统上执行任意代码。
NIST的NVD对该漏洞评分为8.1分, CVE编号为CVE-2019-11815,未授权的用户还可以在没有与用户交互的情况下滥用该漏洞。
因为该攻击的复杂度很高,因此该漏洞可利用性的评分只有2.2,影响评分为5.9。
根据CVSS 3.0的影响评定,CVE-2019-11815漏洞会对机密性、真实性和可用性带来很大的影响,因此攻击者在成功利用该漏洞后可以获取所有资源的访问权限、修改文件、并拒绝对某些资源的访问。
UAF漏洞是尝试在内存被释放后仍然引用内存中的内存,导致软件击溃、使用意外值或执行代码。
Linux开发者在3月末发布了CVE-2019-11815漏洞的补丁,并在4月17日发布的Linux kernel 5.0.8版本中修复了该漏洞。
MiTM漏洞导致代码执行
除此之外,1月底,研究人员还发现Debian, Ubuntu和其他相关的Linux发行版中使用的APT包管理器存在代码执行漏洞。该漏洞是http方法中的内容注入漏洞,CVE编号为CVE-2019-3462,漏洞成功被利用后可能导致中间人攻击,攻击者可以之后以root权限在目标机器上执行代码。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 如何做好漏洞管理的漏洞修复工作
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- 通过关键字获取漏洞平台最新漏洞信息
- [浏览器安全漏洞一] dll劫持漏洞
- 宝塔漏洞 XSS窃取宝塔面板管理员漏洞高危
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
算法导论
[美] Thomas H. Cormen、Charles E. Leiserson、Ronald L. Rivest、Clifford Stein / 高等教育出版社 / 2002-5 / 68.00元
《算法导论》自第一版出版以来,已经成为世界范围内广泛使用的大学教材和专业人员的标准参考手册。 这本书全面论述了算法的内容,从一定深度上涵盖了算法的诸多方面,同时其讲授和分析方法又兼顾了各个层次读者的接受能力。各章内容自成体系,可作为独立单元学习。所有算法都用英文和伪码描述,使具备初步编程经验的人也可读懂。全书讲解通俗易懂,且不失深度和数学上的严谨性。第二版增加了新的章节,如算法作用、概率分析......一起来看看 《算法导论》 这本书的介绍吧!
