Linux命令
涉及程序:
Linux Kernel
描述:
Linux Kernel控制台鍵盤映射本地命令注入漏洞
詳細:
Linux Kernel是開發源碼操作系統Linux所使用的內核。
Linux Kernel在處理鍵盤時存在漏洞,本地攻擊者可能利用此漏洞誘使使用同一計算機的用戶執行惡意命令。
本地非特權用戶可以通過loadkeys命令更改系統范圍內的控制台鍵盤映射,這樣就可以通過修改控制台鍵盤映射導致向Linux Kernel中注入命令。本地攻擊者可以修改控制台鍵盤映射以包含進腳本宏命令,導致以之後使用控制台用戶的權限執行任意命令。
<*來源:Rudolf Polzer (
[email protected])
鏈接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=334113
*>
受影響系統:
Linux kernel 2.6.12-10
攻擊方法:
警 告
以下程序(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!
loadkeys <<EOF
keycode 15 = F23
string F23 = "^V^C^V^Mecho hello world^V^M"
EOF
解決方案:
廠商補丁:
Linux
-----
目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:
http://www.kernel.org/
