硬核观察 # 577 影响所有 Linux 防火墙的安全漏洞被发现

硬核观察 # 577 影响所有 Linux 防火墙的安全漏洞被发现

影响所有 Linux 防火墙的安全漏洞被发现

安全研究人员在 Linux 的 netfilter 中发现了 一个漏洞,“可以利用它来实现内核代码的执行,能够做到完全的本地权限提升、容器逃逸等。”几乎所有的 Linux 防火墙工具,如 iptables、nftables、firewalld 和 ufw 背后都有 netfilter,它控制着进出 Linux 的网络栈。漏洞原因是 netfilter 没有正确处理硬件卸载功能,即使被攻击的硬件没有卸载功能。这个漏洞存在于 Linux 内核 5.4 到 5.6.10 版本中。影响了最近的主要发行版,如 RHEL 8.x、Debian Bullseye、Ubuntu Linux 和 SUSE SLE 15.3。

老王点评:几乎所有的 Linux 都会启用 netfilter 防火墙,因此这个漏洞必须得补上,而无法规避。

20 年的 Debian 开发者被排挤出项目

一位在 Debian 项目中服务超过 20 年的开发者在去年 12 月被降级为维护者,导致他决定 离开该项目。他称,Debian 客户经理团队认为他“多年来一直在欺负项目成员”,“不能与社区团队沟通”。他现在已经加入了 Arch Linux 项目。他表示他将在以后的博文中解释更多的情况。

老王点评:是非曲直我们并不知道,但是有人的地方就有江湖,开源社区也不例外。

英特尔准备让其 SGX 支持 Linux 下的微码更新

越来越多的用户对他们的内核进行热补丁,并在不重启系统的情况下应用微码更新。但英特尔的“软件防护扩展”(SGX)还不允许实时微码更新。在一个正在运行的系统上进行 CPU 微码更新将破坏 SGX 认证,SGX 将停留在认证旧版本上,直到重新启动,而新的更新由于不同的版本而被认为受损。英特尔 正在引入 一个新的 SGX 指令 “EUPDATESVN”,允许其证明更新的微代码信息,而不需要重新启动。

老王点评:虽然 SGX 屡屡出现安全问题,但是这个对安全还是很有意义的,要是能支持实时微码更新,那就更好了。

回音

  • 被曝在 Windows 11 Insider 的文件管理器测试广告后,微软表示,这是一个实验性的横幅,并不打算对外发布,并且已经被关闭了,但不排除未来在文件资源管理器中出现广告。