天氣預報
2004-02-23, 08:32 PM
Linux伺服器再爆安全漏洞
CNET新聞專區:Robert Lemos 2004/02/20
安全研究員警告,Linux伺服器和工作站已發現三種不同的安全漏洞,可能遭駭客入侵進而掌控系統。
波蘭安全公司iSEC Security Research 18日發布警訊指出,其中兩種安全弱點的問題出在Linux核心(kernel)管理記憶體的方式,各種版本的Linux都受影響。第二種瑕疵影響Linux核心中支援ATI 128位元Rage視訊卡的模組。
賽門鐵克公司(Symantec)工程部高級經理Alfred Huger說,因為Linux經常用於共享的伺服器,一有生安全漏洞,即可讓某個使用者擴大在某部重要電腦上的資料存取權限,儘管新發現的瑕疵尚未嚴重到可讓外人隨意進出搗毀電腦。
「綜觀而言,如果駭客能夠存取你的機器,就可能取得系統的根目錄控制權(root control),」他說。系統管理員(root user)是通用的Linux和Unix術語,意指對一台電腦有全面控制權者。
舉例來說,最近微軟宣布,Windows作業系統的某個安全弱點讓駭客得以自遠端遙控,在縱一台Windows電腦執行惡意程式。這種安全瑕疵更嚴重,可能導致某隻蠕蟲透過受害者的電腦蔓延到網際網路上。相形之下,Linux核心新發現安全漏洞的影響範圍相對較小,主要是讓駭客趁機染指單一的電腦。
為修補這些安全漏洞,Linux核心專案(The Linux Kernel Project)小組已發布新版的 2.4系列核心──2.4.25版。這是今年來該組織第二度發布修補程式更新。1月間,該小組才發布2.4.24版核心以解決iSEC發現的另一個安全漏洞。
去年9月,駭客還利用Linux核心的另一個安全弱點,把魔爪伸進某個程式開發公司的電腦,進而控制了幾台用來發展Debian版Linux的重要伺服器。
Linux公司和組織正紛紛發布更新版本。紅帽公司(Red Hat)、Novell的SuSE Linux、 Debian和其他Linux經銷商最遲已在19日早晨發布修補程式。
賽門鐵克公司的Huger說,新發現的瑕疵凸顯出Linux核心仍存在一些弱點。而且,過去三個月來,Linux核心三番兩次爆發嚴重瑕疵,令人質疑所謂「眾目睽睽之下安全無虞」的理論。他指出,一般看法是,開放原始碼軟體受眾人監視,安全漏洞可輕易修補,所以安全性較高,但其實絕大多數的開發者不喜歡檢視舊的程式碼。
不過,Linux以前也受過這種批評。儘管受到監督的程度不如開放原始碼支持者想像的那麼嚴密,但Linux安全漏洞的嚴重性仍比Windows的瑕疵輕微。(唐慧文)
http://taiwan.cnet.com/enterprise/topic/0,2000062938,20087647,00.htm
贊助商連結
CNET新聞專區:Robert Lemos 2004/02/20
安全研究員警告,Linux伺服器和工作站已發現三種不同的安全漏洞,可能遭駭客入侵進而掌控系統。
波蘭安全公司iSEC Security Research 18日發布警訊指出,其中兩種安全弱點的問題出在Linux核心(kernel)管理記憶體的方式,各種版本的Linux都受影響。第二種瑕疵影響Linux核心中支援ATI 128位元Rage視訊卡的模組。
賽門鐵克公司(Symantec)工程部高級經理Alfred Huger說,因為Linux經常用於共享的伺服器,一有生安全漏洞,即可讓某個使用者擴大在某部重要電腦上的資料存取權限,儘管新發現的瑕疵尚未嚴重到可讓外人隨意進出搗毀電腦。
「綜觀而言,如果駭客能夠存取你的機器,就可能取得系統的根目錄控制權(root control),」他說。系統管理員(root user)是通用的Linux和Unix術語,意指對一台電腦有全面控制權者。
舉例來說,最近微軟宣布,Windows作業系統的某個安全弱點讓駭客得以自遠端遙控,在縱一台Windows電腦執行惡意程式。這種安全瑕疵更嚴重,可能導致某隻蠕蟲透過受害者的電腦蔓延到網際網路上。相形之下,Linux核心新發現安全漏洞的影響範圍相對較小,主要是讓駭客趁機染指單一的電腦。
為修補這些安全漏洞,Linux核心專案(The Linux Kernel Project)小組已發布新版的 2.4系列核心──2.4.25版。這是今年來該組織第二度發布修補程式更新。1月間,該小組才發布2.4.24版核心以解決iSEC發現的另一個安全漏洞。
去年9月,駭客還利用Linux核心的另一個安全弱點,把魔爪伸進某個程式開發公司的電腦,進而控制了幾台用來發展Debian版Linux的重要伺服器。
Linux公司和組織正紛紛發布更新版本。紅帽公司(Red Hat)、Novell的SuSE Linux、 Debian和其他Linux經銷商最遲已在19日早晨發布修補程式。
賽門鐵克公司的Huger說,新發現的瑕疵凸顯出Linux核心仍存在一些弱點。而且,過去三個月來,Linux核心三番兩次爆發嚴重瑕疵,令人質疑所謂「眾目睽睽之下安全無虞」的理論。他指出,一般看法是,開放原始碼軟體受眾人監視,安全漏洞可輕易修補,所以安全性較高,但其實絕大多數的開發者不喜歡檢視舊的程式碼。
不過,Linux以前也受過這種批評。儘管受到監督的程度不如開放原始碼支持者想像的那麼嚴密,但Linux安全漏洞的嚴重性仍比Windows的瑕疵輕微。(唐慧文)
http://taiwan.cnet.com/enterprise/topic/0,2000062938,20087647,00.htm
贊助商連結