研究人員警告,4成Ubuntu含有漏洞風險
· 2023-07-28

針對新版Ubuntu 23.04修補2個與OverlayFS有關的權限擴張漏洞,Wiz Research資安研究人員提醒該漏洞影響4成Ubuntu用戶,而且駭客只需使用過去針對OverlayFS漏洞所打造的攻擊程式,就能再發動新一波攻擊

Gabriel Heinzer on unsplash

來自Wiz Research的兩名資安研究人員Sagi Tzadik與Shir Tamari在26日指出,Ubuntu中含有兩個與OverlayFS有關的權限擴張漏洞,影響了40%的Ubuntu用戶,而且以前的攻擊程式就適用。不過,Ubuntu在25日已藉由釋出Ubuntu 23.04,修補了包括這兩個漏洞在內的8個安全漏洞。

OverlayFS為一Linux檔案系統,由於它可在預先建構好的映像檔上部署動態檔案系統,因而隨著容器的興起而變得更熱門,然而,由於非常權用戶經常得以利用使用者命名空間(User Namespace)存取OverlayFS,使得它成為吸引駭客的攻擊表面。

Tzadik與Tamari說,基於Linux的Ubuntu在2018年針對OverlayFS模組作了許多變更,雖然這些變更並未帶來任何安全風險,但Linux Kernel專案在2019年與2022年執行的OverlayFS變更卻與Ubuntu的作法衝突,而分別產生了CVE-2023-32629與CVE-2023-2640漏洞。

有鑑於它們是基於Ubuntu的變更才衍生的,因此這兩個漏洞並未波及其它Linux作業系統。根據Ubuntu的說明,這兩個漏洞源自於Ubuntu中的OverlayFS在特定情況下無法妥善檢查權限,而允許本地端駭客擴張權限。

值得注意的是,那些過去鎖定OverlayFS漏洞所開發的攻擊程式,完全不需要修改就能攻擊CVE-2023-32629與CVE-2023-2640,Ubuntu用戶最好儘速修補。

至於Ubuntu 23.04本周所修補的其它漏洞,則皆直接源自Linux Kernel。

熱門文章
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
英國確認各垂直行業的賭博稅稅率
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
首頁
遊戲
合作
發現
我的