HackerNews.cc  9 月 28日消息，Qualys 实验室研究人员近期发现一处存在 2 年之久的  Linux 内核 安全问题已上升至高危漏洞级别（CVE-2017-1000253、CVSS 分值为 7.8），允许攻击者破坏系统内存、提升特权。据悉，该漏洞最初由 Google 安全研究人员 Michael Davidson 于 2015 年 4 月发现。不过由于当时并未重视，因此该漏洞的修复程序没有移植到 Linux 3.10.77 长期发行版中。

受影响版本：

ο 所有 1708 版本之前的 CentOS 7
ο 所有 7.4 版本之前的 Red Hat Enterprise Linux 7
ο 所有版本的 CentOS 6 与 Red Hat Enterprise Linux 6

研究人员表示，该漏洞存在于 Linux 内核加载 ELF 可执行文件的方式中，并且由已构建的 PIE 应用程序触发，可造成内存无法被正常分配而导致损坏。最初，研究人员认为这只会导致内存损坏而已，但随后他们发现，具有访问 SUID 或其他特权的 PIE 二进制文件的非特权本地用户可以利用该漏洞升级受影响系统权限。

不过，研究人员表示，为了减轻此漏洞所带来的影响，用户可以将 vm.legacy_va_layout 设置为 1 来切换到旧的 mmap（内存文件映射）布局，从而禁止攻击者利用漏洞破坏系统。目前，包括 Red Hat、Debian 与 CentOS 在内的 Linux 发行版已经发布安全更新。Qualys 团队在提醒用户更新系统时也承诺发布概念验证（PoC）代码，用于敦促其他发行商及时修补程序发布安全更新。

原作者： Mohit Kumar，译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。