Oracle снова исправила «исправленную» много лет назад уязвимость в ОС Solaris
С выходом плановых обновлений для своих продуктов компания Oracle снова исправила уже «исправленную» много лет назад уязвимость в своей операционной системе Solaris. Как показали исследования специалистов из Trustwave, выпущенный ранее патч для компонента Solaris Availability Suite Service не устраняет уязвимость в полной мере, и Oracle разработала новый.
Уязвимость CVE-2018-2892, о которой идет речь, можно проэксплуатировать только локально. По системе оценивания опасности уязвимостей CVSS 3.0 она получила 7,8 балла из максимальных 10. Уязвимость позволяет атакующему с низкими привилегиями, обладающему доступом к инфраструктуре, где выполняется Solaris, скомпрометировать операционную систему, выполнив код в контексте ядра.
Пользователи Oracle Solaris 10/11 с установленным ПО Sun StorageTek Availability Suite (AVS) должны установить новый патч с целью окончательно устранить уязвимость, так и не исправленную в прошлых обновлениях. Данная уязвимость была обнаружена в 2007 году. С ее помощью злоумышленник может вызвать повреждение памяти, записать в память вредоносный код и выполнить его с привилегиями ядра.
Широкой общественности о проблеме стало известно на конференции CanSec West, проходившей в Ванкувере в 2009 году. Вскоре после раскрытия было выпущено исправление, однако, как обнаружили исследователи из Trustwave, оно устраняло проблему не полностью.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш