Уязвимость, обнаруженная в ядре Linux, позволяет программе величиной всего в 20 строк и написанной на языке С “сломать” практически все версии этой ОС, использующие ядра версии от 2.4 до 2.6 и работающие на аппаратных платформах с архитектурой x86 и x86-64, утверждают исследователи в области компьютерной безопасности.
Издание ComputerWeekly.com, ссылаясь на мнение Ойвинда Сэзера (Oyvind Saether), обнаружившего уязвимость, отмечает, что теперь, фактически, любой пользователь, используя обыкновенный доступ в сеть (возможность скачивать и загружать программы), например FTP-доступ, и ПК под управлением Linux может взломать целый сервер, используя эту уязвимость. Для проведения подобной операции ему даже не потребуются права администратора.
Разработчики Linux уже выпустили исправление, которое должно устранить обнаруженную уязвимость, а большинство крупных поставщиков Linux, включая Fedora Project и Gentoo Linux начали выпуск собственных версий патча. Наиболее свежие обновления ядра ОС, которые будут доступны в версии 2.6.7, также устраняют обнаруженную уязвимость, заявляет Линус Торвальд.
По мнению разработчиков два фактора существенно снижают степень угрозы, которую представляет данная уязвимость, несмотря на ее очевидную серьезность. Во-первых, уязвимость можно использовать только через действительный пользовательский аккаунт, во-вторых, она не позволяет атакующему получить контроль над системой.
По мере того, как растет популярность Linux и его доля на рынке ПО, исследователи в области компьютерной безопасности и потенциальные хакеры все более внимательно анализируют код этой операционной системы. В результате обнаруживается все больше проблем, связанных с безопасностью использования Linux.
Корпорация Microsoft уже попыталась использовать факт обнаружения уязвимости для демонстрации неэффективности усилий поставщиков ПО с открытым программным кодом по обеспечению безопасности своих продуктов. Некоторые исследовательские компании поддержали Microsoft. В частности, аналитическая компания Forrester Research представила противоречивое исследование, в котором делается достаточно спорный вывод, что у поставщиков Linux выпуск патчей, как правило, происходит не так оперативно как у Microsoft.
Недавно компаниям, выпускающим различные версии Linux, пришлось в срочном порядке предоставить пользователям патч, устраняющий критическую уязвимость в CVS, широко используемой программе работающей с Linux. Она давала возможность неавторизованного доступа к программному коду. Впоследствии специалисты приступили к тщательному анализу исходного кода CVS, в результате чего было обнаружено еще 6 узявимостей, одна из которых позволяла контролировать сервер через интернет.
