Linux kernel vulnerabilities are not pre-notified to distributions

 (openwall.com)
1 पॉइंट द्वारा GN⁺ 2 시간 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • Linux kernel की local privilege escalation भेद्यता CopyFail हाल के kernel के “make-me-root” vulnerabilities में सबसे गंभीर श्रेणी में आती है
  • यह समस्या 4.14 के commit 72548b093ee38a6d4f2a19e6ef1948ae05c181f7 में जोड़ी गई थी, और 6.18.22, 6.19.12, 7.0 में ठीक की गई
  • 6.19.12 और 6.18.22 में 11 अप्रैल को fix backport शामिल किया गया था, लेकिन उस समय Longterm 6.12, 6.6, 6.1, 5.15, 5.10 में यह fix शामिल नहीं हुआ
  • यह fix पुराने kernels पर clean apply नहीं होता, और ऐसे मामलों में जहाँ तुरंत deployment ज़रूरी हो, IPSec के authencesn मॉड्यूल को disable करने वाला patch अस्थायी उपाय के रूप में इस्तेमाल किया जा सकता है
  • Linux kernel vulnerabilities के लिए distributions को पहले से सूचना नहीं दी जाती जब तक रिपोर्ट करने वाला इसे linux-distros ML पर न ले जाए, और इस मामले में भी कोई heads-up नहीं दिया गया

CVE-2026-31431 का प्रभाव क्षेत्र और fix status

  • CopyFail Linux kernel की एक local privilege escalation भेद्यता है, और हाल के kernel के “make-me-root” vulnerabilities में सबसे गंभीर श्रेणी में आती है
  • यह समस्या 4.14 के commit 72548b093ee38a6d4f2a19e6ef1948ae05c181f7 में जोड़ी गई थी, और 6.18.22, 6.19.12, 7.0 में क्रमशः ठीक की गई
  • 6.18.22 fix commit
  • 6.19.12 fix commit
  • 7.0 fix commit
  • 6.19.12 और 6.18.22 11 अप्रैल को fix backport के साथ रिलीज़ किए गए
  • Longterm 6.12, 6.6, 6.1, 5.15, 5.10 में उस समय यह fix शामिल नहीं था, और upstream stable queue में भी यह दिखाई नहीं दे रहा था
  • अगर यह समस्या 2017 में जोड़ी गई थी, तो यह जाँचना ज़रूरी है कि क्या पुराने kernels भी प्रभावित हैं

distribution को advance notice और अस्थायी प्रतिक्रिया

  • यह fix पुराने kernels पर clean apply नहीं होता
  • जिन स्थितियों में तुरंत deploy करना ज़रूरी था, वहाँ backport की कोशिश की गई, लेकिन कुछ API changes के कारण इसे भरोसे के साथ आगे बढ़ाना मुश्किल था
  • अस्थायी उपाय के रूप में IPSec के authencesn मॉड्यूल को disable करने वाला patch इस्तेमाल किया जा सकता है, और IPSec विशेषज्ञ न होने पर भी यह “कम बुरा विकल्प” के काफ़ी करीब है
  • 0001-crypto-disable-authencesn-module-for-CVE-2026-31431.patch: CVE-2026-31431 के लिए authencesn मॉड्यूल disable patch
  • Linux kernel vulnerabilities के लिए distributions को पहले से सूचना नहीं दी जाती जब तक रिपोर्ट करने वाला इसे linux-distros ML पर न ले जाए
  • इस मामले में linux-distros ML के ज़रिए कोई heads-up नहीं दिया गया

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.