歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
近 40% Ubuntu 系統含有權限提升與任意程式碼執行漏洞
2023 / 07 / 31
編輯部
資安廠商 Wiz 旗下的資安研究人員,近期在廣受歡迎的 Linux 發行版本 Ubuntu 的核心中發現兩個漏洞,可讓未擁有高等級權限的本機使用者提升其執行權限,並且執行任意程式碼。
這兩個漏洞分別為 CVE-2023-32629 和 CVE-2023-2640。CVE-2023-2640 是個存於 Ubuntu Linux 核心記憶體管理子系統中,一個不適當的權限檢查機制造成的權限提升漏洞,能夠存取本機的駭侵者,可以利用該漏洞來提升執行權限。
另一個漏洞 CVE-2023-32629 也存於 Ubuntu Linux 核心記憶體管理子系統中,在存取 VMA 時可能形成競爭狀況並導致記憶體發生「釋放後使用」(use-after-free)問題,使可以存取本機資源的駭侵者藉以執行任意程式碼。
CVE-2023-2640 的 CVSS 危險程度評分較高,為 7.8 分(滿分為 10 分),其危險程度評級為「高」(high);而 CVE-2023-32629 的 CVSS 分數略低,為 5.4 分,其危險程度評級為「中」(medium)。
資安研究人員是在研究 Ubuntu Linux 在實作 OverlayFS 檔案系統發生的不相容問題時,發現這兩個漏洞。過去在 2018 年之前的 Ubuntu Linux 發行版,在執行 OverlayFS 時並不會發生任何問題,但在 2019 年和 2022 年,Linux 核心專案進行部分變動,就導致在 Ubuntu Linux 核心在執行 OverlayFS 時發生上述兩個漏洞。
由於 Ubuntu 的使用層面極廣,Wiz 的研究人員估計約有 40% 的 Ubuntu 系統含有此二漏洞;Ubuntu 基金會也已推出資安更新,用戶應立即套用。
Ubuntu 基金會也已針對這兩個漏洞與其他資安漏洞推出資安更新,建議用戶應立即套用。
本文轉載自TWCERT/CC。
CVE-2023-32629
CVE-2023-2640
權限提升漏洞
釋放後使用
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
美國CISA示警Zyxel等品牌之網路設備遭受攻擊中
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵
大規模採用中國光學雷達設備 恐對國家安全構成威脅
資安人科技網
文章推薦
Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證
趨勢科技推出全新AI防詐達人 阻絕AI世代的詐騙危機
2024 CGGC網路守護者挑戰賽,「海狗再打十年」隊獲得冠軍