Viime perjantaina tietokantajätti Oraclelle työskentelevä Linux-ytimen kehittäjä Jens Axboe julkisti useita tietoturvahaavoittuvuuksia Linux-ytimen muistinkäsittelystä. Ongelmat johtuvat keskusmuistin lukuun ja kopiointiin liittyvien kutsujen vaillinaisista oikeuksien tarkistuksista.

Haavoittuvuuksien avulla tavallinen käyttäjäkin pystyy lukemaan ja kirjoittamaan keskusmuistin sisältöä. Normaalisti näin laajoihin toimenpiteisiin suoraan pystyy ainoastaan järjestelmän pääkäyttäjä ja ydin itse.

Haavoittuvuudet koskevat 2.6.17-2.6.24.1-ytimiä. Haavoittuvuuden hyödyntämistä varten hyökkääjällä täytyy olla paikallinen käyttäjätunnus käytettävissä. Haavoittuvuuksille on julkaistu jo myös hyväksikäyttömenetelmiä.

Haavoittuvuus on jo paikattu ytimen 2.6.24.2 -versiossa. Haavoittuvuudelta voi suojautua myös kääntämällä ytimen itse ilman vmsplice-toiminnallisuutta.

Päivitys: Tarkennettu versiotietoja ja suojautumiskeinoja.