漏洞驻留在控制Linux伪终端的n_tty_write功能中,这是2013年4月的perf_events issue (CVE-2013-2049)以来,Linux系统最为严重的越权漏洞,大量Linux内核都受到波及,对于VPS这样的主机共享托管服务来说尤其危险。
信息一览
●编号:CVE-2014-0196
●漏洞类型:缓冲区溢出漏洞
●漏洞引入:Linux 2.6.31-rc3 (2009)
●影响的版本:2.6.31-rc3 — 3.14.3
●影响的部分:伪tty设备
●漏洞修正:Linux 3.14.4
Linux和Windows谁更安全?(来自慧程网)
这次事件再次佐证一个观点:风险无处不在,我们觉得没有风险,只是因为我们尚未发现危机。Linux也绝不是绝对安全,虽然相对于Windows,它显得更加安全可靠,不过这是基于Linux的用户群体少,如果Linux也拥有像Windows一样庞大的用户群体,毫无疑问,它也会得到大量黑客的注意并且招致攻击。说不定那时候类似这样的漏洞很有可能被黑客们优先发现并利用。
仅从算法角度考虑,Linux依然不能够高枕无忧。如今PC平台计算机和特洛伊木马层出不穷,破坏力增大,人们对其防不胜防,Unix/Linux上的却不是很多,这除与操作机制有很大关系外,也与Unix/Linux未广泛流行有关。由于Linux存在SETUID和缓冲区溢出等,这为计算机和特洛伊木马提供了入口。
尽管如此,由于开源的特性,在Linux社区有数万开发人员来监视这款系统的代码,所谓人多力量大,一旦发现问题,群策群力,修复十分迅速,从这一点是闭源的微软所远远不及的。
标签:服务器
