[CVE-2013-1763]Linux内核3.3-3.8本地提权漏洞

2013-03-11 306934人围观 ,发现 13 个不明物体 漏洞系统安全

感谢LinuxSpace投递

先来看一下我们的测试环境:ubuntu12.10 32bit

上周公布了一个Linux本地权限提升漏洞,利用Linux内核3.3到3.8版本,成功的使用允许攻击者获得root权限

访问Linux机器。我想一个装在虚拟机的Ubuntu12.10的“guest用户”来提升权限

可以看到从上图登录到Ubuntu 12.10并查看了guest用户权限。这个账户默认下是没设置密码的。

运行该漏洞创建的 ./CVE1763 

运行“id”命令显示用户id(uid)0,或 root。

但是‘guest’用户是否获取了root权限呢,于是添加一个用户(Hakerz)来进行测试

打开两组Terminal,一个终端运行了上述漏洞文件,一个没有运行漏洞来创建用户

如图:右边的终端”guest用户”失败了,左边利用了提升用户权限等级的漏洞成功创建了用户(hakerz)。

这是问题Ubuntu已经发布了一个关于它的安全公告。他们已经开始提供了一个补丁来修复该漏洞。

所有您需要做的就是运行Ubuntu的更新管理器自动安装并修复。

立即更新您的Linux系统,特别是你允许公共guest用户访问。

POC下载:[SecurityFocus]

这些评论亮了

发表评论

已有 13 条评论

取消
Loading...
css.php