Alan Cox 表示﹐Linux 核心至 2.2.15 以前的版本﹐都含有一個嚴重的臭蟲﹐可以讓一般使用者取得 root 權限。他呼吁 2.2 系列的使用者立即升級到最新的 Linux 2.2.16 版核心。
這個漏洞只要系統裡有 setuid root 的程序,就可能被利用。主要問題發生在一個少有說明的函數 - setcap﹐setcap 函數可以讓使用者獲得任意 setuid 程序的能力﹐進而入侵系統。全文出處將有詳細的說明。
市面上絕大部份最新的 Linux 套件都是采用 2.2 系列的核心﹐因此也都有這個問題。目前還沒有 Linux distribution 公司提供其核心升級補強的套件﹐擔心此問題的管理者可以自行編譯核心﹐以避免有心人利用此漏洞侵入系統。
Linux 2.2.16 原始碼下載位置:ftp://ftp.kernel.org/pub/linux/kernel/v2.2/linux-2.2.16.tar.gz。
全文出處:
http://sendmail.net/
