Уязвимость в ядре Linux позволяет похищать личные данные

Тревожные новости поступили от компьютерного специалиста Василия Куликова. В ядре операционной системы Ubuntu 11.10 обнаружена уязвимость, приводящая к утечке приватных данных.

Ошибка кроется в реализации интерфейса taskstats и приводит к тому, что права доступа не проверяются должным образом. Василий, объясняя всю серьезность ситуации, приводит следующий пример использования уязвимости:

taskstats и /proc/PID/io могут быть использованы для сбора приватной информации. Например, для сервисов openssh и vsftpd злоумышленник может узнать точную длину паролей. Следующий пример демонстрирует практическое использование уязвимости для определения длины пользовательского пароля в ssh: http://www.openwall.com/lists/oss-security/2011/06/21/12

Чтобы обезопасить себя от возможных надругательств со стороны хакеров рекомендуется срочно обновить пакет linux-image до последней версии.