Linux操作系統(tǒng)最近被找出兩個(gè)漏洞，一個(gè)是與甲骨文所貢獻(xiàn)的RDS（Reliable Datagram Sockets）協(xié)定有關(guān)，另一個(gè)則與GNU C的數(shù)據(jù)庫有關(guān)，均可能讓入侵的黑客取得Linux系統(tǒng)的最高管理人員權(quán)限（Root）。

第一個(gè)漏洞由網(wǎng)絡(luò)安全研究單位VSR所發(fā)現(xiàn)，主要為RDS一個(gè)負(fù)責(zé)復(fù)制資料的函數(shù)沒有驗(yàn)證資料所在位置是否正確，導(dǎo)致黑客可以使用特制的程序?qū)①Y料寫入系統(tǒng)核心內(nèi)，入侵者因此可以調(diào)整使用者權(quán)限。Linux核心程序2.6.30 - 2.6.36-rc8各版本均會受影響，VSR建議使用者更新系統(tǒng)或者讓系統(tǒng)不載入RDS協(xié)定。

目前Linux之父Linus Torvalds已經(jīng)針對RDS漏洞提交修補(bǔ)程序。

第二個(gè)漏洞由Tavis Ormandy發(fā)現(xiàn)，問題在于GNU C的數(shù)據(jù)庫，不過數(shù)據(jù)庫本來就潛藏這類問題，因?yàn)楹诳涂赡軐懭胍粋€(gè)程序，然后利用這個(gè)程序呼叫SUID（set user ID，設(shè)定使用者帳號），便可能取得特殊權(quán)限。因此系統(tǒng)有各種安全措施與限制來避免這種狀況產(chǎn)生。

但Tavis Ormandy發(fā)現(xiàn)GNU C的數(shù)據(jù)庫并沒依照規(guī)定，略過程序載入SUID及SGID（set group ID，設(shè)定群組帳號）的要求，導(dǎo)致程序可能任意調(diào)整帳號權(quán)限。目前已經(jīng)證實(shí)部分Linux套件會受到影響，但Tavis Ormandy在其報(bào)告中認(rèn)為該漏洞可能被轉(zhuǎn)換成多種方式呈現(xiàn)。

【編輯推薦】

1. Linux Mint 10將比Ubuntu 10.10更好用嗎？
2. 把你的Linux變成無線基站服務(wù)器
3. “毒牙食肉蝙蝠”Linux內(nèi)核到底革新了什么
4. Linux 內(nèi)核發(fā)布 2.6.36 穩(wěn)定版
5. Linux初學(xué)者最常遇到的五個(gè)問題