Alan Cox 表示﹐Linux 核心至 2.2.15 以前的版本﹐都含有一个严重的臭虫﹐可以让一般使用者取得 root 权限。他呼吁 2.2 系列的使用者立即升级到最新的 Linux 2.2.16 版核心。
这个漏洞只要系统里有 setuid root 的程序,就可能被利用。主要问题发生在一个少有说明的函数 - setcap﹐setcap 函数可以让使用者获得任意 setuid 程序的能力﹐进而入侵系统。全文出處將有詳細的說明。
市面上绝大部份最新的 Linux 套件都是采用 2.2 系列的核心﹐因此也都有这个问题。目前还沒有 Linux distribution 公司提供其核心升级补强的套件﹐担心此问题的管理者可以自行编译核心﹐以避免有心人利用此漏洞侵入系统。
Linux 2.2.16 原始码下载位置:ftp://ftp.kernel.org/pub/linux/kernel/v2.2/linux-2.2.16.tar.gz。
全文出处:
http://sendmail.net/