安全研究人员在Linux的netfilter中发觉了一个漏洞,“可以借助它来实现内核代码的执行,才能做到完全的本地权限提高、容器逃逸等。”几乎所有的Linux防火墙工具,如iptables、nftables、firewalld和ufw背后都有netfilter,它控制着进出Linux的网路栈。漏洞缘由是netfilter没有正确处理硬件卸载功能硬盘安装linux,虽然被功击的硬件没有卸载功能。这个漏洞存在于Linux内核5.4到5.6.10版本中。影响了近来的主要发行版linux系统安全检测工具红旗linux5.0,如RHEL8.x、DebianBullseye、UbuntuLinux和SUSESLE15.3。
老王点评:几乎所有的Linux就会启用netfilter防火墙,因而这个漏洞必须得补上,而难以规避。
20年的Debian开发者被敌视出项目
一位在Debian项目中服务超过20年的开发者在今年12月被降级为维护者,致使他决定离开该项目。他称,Debian顾客总监团队觉得他“多年来仍然在戏弄项目成员”,“不能与社区团队沟通”。他如今早已加入了ArchLinux项目。他表示他将在之后的博文中解释更多的情况。
老王点评:是非曲直我们并不晓得,并且有人的地方就有江湖,开源社区也不例外。
英特尔打算让其SGX支持Linux下的微码更新
越来越多的用户对她们的内核进行热补丁,并在不重启系统的情况下应用微码更新。但英特尔的“软件防护扩充”(SGX)还不准许实时微码更新。在一个正在运行的系统上进行CPU微码更新将破坏SGX认证linux系统安全检测工具,SGX将逗留在认证旧版本上,直至重新启动,而新的更新因为不同的版本而被觉得破损。英特尔正在引入一个新的SGX指令“EUPDATESVN”,准许其证明更新的微代码信息,而不须要重新启动。
老王点评:尽管SGX屡次出现安全问题,并且这个对安全还是很有意义的,要是能支持实时微码更新,那就更好了。
回音