5月30日美国网路安全暨基础设施安全局(CISA)发布资安公告,,以及Linux核心元件记忆体释放后再重新利用(Use After Free)的漏洞CVE-2024-1086,CVSS风险评分为8.6、7.8。CISA要求所有的联邦机构,必须在6月20前完成修补。
其中,较为引起关注的漏洞,是今年1月Linux基金会修补的CVE-2024-1086,这项漏洞存在于Linux核心5.14至6.6.14版,攻击者假如能够趁机取得一般使用者权限,再触发漏洞,就有机会取得root权限。
而这项漏洞发生的原因,在于Linux核心的netfilter元件里,处理网路封包、资料封包的nftables出现记忆体双重释放(double-free)的弱点,有可能导致当机,或是让攻击者执行任意程式码,研究人员Notselwyn在4月初公布细节及概念性验证程式码(PoC),并将其命名为「Flipping Pages」,当时,尚未发现这项漏洞遭到利用的迹象。
虽然CISA并未公布这项漏洞遭到利用的情形,也没有透露攻击者如何进行漏洞利用,但有鉴于Debian、Ubuntu、Red Hat、Fedora等版本的Linux作业系统都会受到影响,用户后应尽速套用Linux供应商提供的新版软体因应。