阿里云首页 阿里云安全产品和技术

【漏洞公告】CVE-2017-1000253:Linux PIE/stack 内存破坏漏洞

2017年9月26日,OSS-SEC邮件组中发布了Linux内核相关的漏洞信息。该漏洞编号为 CVE-2017-1000253,它可以被利用来获取本地权限提升,存在安全风险。受影响的Linux发行版已发布了针对该漏洞的更新补丁。

漏洞详情见下文。

漏洞编号:

CVE–2017–1000253

漏洞名称:

Linux PIE/stack 内存破坏漏洞

官方评级:

高危

漏洞描述:

在Linux环境下,如果应用程序编译时有-pie编译选项,则load_elf_binary()将 会为其分配一段内存空间,但是load_elf_ binary()并不考虑为整个应用程序分配足够的空间,导致PT_LOAD段超过了mm->mmap_base。在x86_64下,如果越界超过128MB,则会覆盖到程序的栈,进而可能导致权限提升。

漏洞利用条件和方式:

本地提权

漏洞影响范围:

  • 2017年09月13日前发行的 CentOS 7 全版本(版本1708前)

  • 2017年08月01日前发行的 Red Hat Enterprise Linux 7 全版本(版本7.4前)

  • 所有版本的CentOS 6 和 Red Hat Enterprise Linux 6

漏洞检测:

开发人员检查内核版本是否在受影响范围内。

漏洞修复建议(或缓解措施):

目前各大发型厂商已经发布了最新版本内核补丁,建议用户升级内核到Kernel 3.10.0-693及以后版本。注意:在升级内核前,请使用快照或异地备份方式备份数据,防止发生意外。

情报来源:

  • http://seclists.org/oss-sec/2017/q3/541

  • http://www.openwall.com/lists/oss-security/2017/09/26/16

  • https://www.qualys.com/2017/09/26/cve-2017-1000253/cve-2017-1000253.txt

首页 阿里云安全产品和技术 安全漏洞预警 操作系统安全漏洞 【漏洞公告】CVE-2017-1000253:Linux PIE/stack 内存破坏漏洞