行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> Oracle修复可能允许内核级权限升级的Solaris漏洞

Oracle修复可能允许内核级权限升级的Solaris漏洞

发布时间:2018年07月25日 10:57:40    来源: A5互联

某些版本的Oracle Solaris企业操作系统中的漏洞可能允许攻击者编辑内存中的代码并利用它来获得对计算机的完全根控制。

现在已修补的权限提升漏洞存在于运行文件系统的Sun StorageTek Availability Suite(AVS)的当前版本的Oracle Solaris 10和11中,可用于访问低级别用户或服务帐户,以及在那里,获得对系统的完全root访问权限。

研究人员已经发现并详细记录了内存损坏问题。它的起源一直追溯到2007年。最初的问题在2009年被披露并且显然是固定的,但研究人员今年重新审视了代码,但发现修复程序是部分和漏洞仍然允许执行恶意代码。

漏洞利用的起源CVE-2018-2892位于一个小的代码片段中,其中包含解除引用指针周围的许多独立漏洞,即获取存储在特定内存位置的值的方法。

攻击者可以利用此漏洞访问低级别用户或服务帐户,并获得对整个系统的完全root访问权限。

利用此漏洞的攻击者需要直接访问用户或服务帐户。

=这可以通过针对具有社会工程攻击的用户或利用现有服务中的漏洞来获得。一旦攻击者可以访问任何帐户,就可以非常容易地利用此漏洞来获得对系统的完全根控制。

虽然最初的2007漏洞可能已经在被利用,但没有确认新漏洞被用于进行攻击。目前,甲骨文已经发布了修补漏洞的补丁。