Bleeping Computer 网站披露，Wiz 研究人员 s.Tzadik 和 s.Tamari 发现 Ubuntu 内核中存在两个 Linux 漏洞 CVE-2023-32629 和 CVE-2023-2640，没有特权的本地用户可能利用其在设备上获得更高权限，影响大约 40% 的 Ubuntu 用户。 Ubuntu 是目前使用最广泛的 Linux 发行版之一，拥有大约 4000 多万用户。 CVE-2023-2640 是存在于 Ubuntu Linux 内核中的一个高严重性（CVSS v3得分：7.8）漏洞，之所以出现是因为权限检查不充分，从而允许本地攻击者获得过高的权限。另外一个漏洞 CVE-2023-32629 是存在于 Linux 内核内存管理子系统中的一个中等严重性（CVSS v3 分数：5.4）漏洞，允许本地攻击者执行任意代码。 s.Tzadik 和 s.Tamari 两位分析师发现在 Linux 内核上实现 OverlayFS 模块的差异后，找到了这两个漏洞问题。（OverlayFS 是一种联合装载文件系统实现，因其允许通过用户名称空间进行无特权访问，并且受到容易被利用的漏洞的干扰，过去曾多次受到威胁攻击者的攻击） Ubuntu 作为使用 OverlayFS 的发行版之一，在 2018 年对其 OverlayFS 模块进行了自定义更改，总体上来说应该是安全的。 然而在 2019 年和 2022 年，Linux 内核项目对该模块进行了修改，这就与 Ubuntu 的更改起了冲突，新版本广泛分发采用了包含这些更改的代码，因此冲突引入了这两个漏洞。更不幸的是，这两个漏洞存在被利用的风险，毕竟它们的 PoC 已经公开了很长一段时间。   Wiz研究人员警告称这两个漏洞源于 Ubuntu 对 OverlayFS 模块的单独更改，都针对 Ubuntu 内核，目前针对这些漏洞的武器化攻击已经公开。需要注意的是这两个漏洞只会影响 Ubuntu，其它包括 Ubuntufork 在内的 Linux 发行版以及不使用 OverlayFS 模块的自定义修改都应该是安全的。 近期，Ubuntu 发布了一份关于最新版本Ubuntu Linux 内核中存在六个漏洞的安全公告，并提供了修复更新版本， 建议尚不清楚如何重新安装和激活第三方内核模块的用户通过包管理器执行更新（包管理器应负责所有依赖项和安装后配置）。此外， 用户要注意安装 Linux 内核更新后，需要重新启动才能在Ubuntu 上生效。           转自Freebuf，原文链接:https://www.freebuf.com/news/373188.html 封面来源于网络，如有侵权请联系删除

在Linux中广泛使用的PostScript语言和PDF文件开源解释器Ghostscript被发现存在严重远程代码执行漏洞。 该漏洞被标记为CVE-2023-3664，CVSS v3评级为9.8，影响10.01.2之前的所有Ghostscript版本，10.01.2是三周前发布的最新版本。 据Kroll公司的分析师G. Glass和D. Truman称，他们针对该漏洞开发了一个概念验证（PoC）漏洞，在打开恶意特制文件时可触发代码执行。 考虑到许多Linux发行版都默认安装了Ghostscript，而且LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件也使用了Ghostscript，因此在大多数情况下，触发CVE-2023-3664的机会非常多。 Kroll还表示，如果Windows上的开源应用程序使用了Ghostscript的端口，那么该漏洞也会影响到这些应用程序。 Ghostscript漏洞 CVE-2023-3664漏洞与操作系统管道有关，管道允许不同的应用程序通过将一个应用程序的输出作为另一个应用程序的输入来交换数据。 问题源于Ghostscript中的 “gp_file_name_reduce() “函数，该函数似乎可以获取多个路径，并通过移除相对路径引用来简化路径以提高效率。 然而，如果向该漏洞函数提供特制的路径，它可能会返回意外的结果，从而导致覆盖验证机制和潜在的漏洞利用。 此外，当Ghostscript尝试打开一个文件时，它会使用另一个名为 “gp_validate_path “的函数来检查其位置是否安全。 然而，由于存在漏洞的函数会在第二个函数检查之前更改位置细节，因此攻击者很容易利用这个漏洞，迫使Ghostscript处理本应禁止的文件。 Kroll公司的分析人员创建了一个PoC，只要在任何使用Ghostscript的应用程序上打开EPS（嵌入式Postscript）文件，就会触发该PoC。 因此，如果你是Linux用户，建议升级到最新版本的Ghostscript 10.01.2。 如果你是在Windows上使用Ghostscript端口的开源软件，则需要更多时间来升级到最新版本。因此，建议在Windows中安装时格外小心。     转自Freebuf，原文链接:https://www.freebuf.com/news/371927.html 封面来源于网络，如有侵权请联系删除

报道称，Linux内核中出现了一个新的安全漏洞，可能允许用户在目标主机上获得更高的权限。 该漏洞被称为StackRot（CVE-2023-3269，CVSS评分：7.8），影响Linux 6.1至6.4版本。迄今为止，没有证据表明该漏洞已经在野外被利用。 北京大学安全研究员李瑞晗说：”由于StackRot是一个在内存管理子系统中发现的Linux内核漏洞，它几乎影响到所有的内核配置，且仅需要最少的功能来触发”。 在2023年6月15日漏洞披露之后，经过两周努力，截至2023年7月1日，该漏洞已经在稳定版本6.1.37、6.3.11和6.4.1中得到解决。 一个概念验证（PoC）漏洞和有关该漏洞的其他技术细节预计将在本月底公开。 该漏洞的根源在于一个名为maple tree的数据结构，它在Linux内核6.1中被引入，作为rbtree的替代品，用于管理和存储虚拟内存区域（VMA），这是一个连续的虚拟地址范围，可以是磁盘上的文件内容或程序执行时使用的内存。 具体来说，它被描述为一个使用后的错误，本地用户可以利用maple tree在没有正确获得MM写锁的情况下进行节点替换，从而来破坏内核并提升他们的权限。 Torvalds指出：我想将所有堆栈扩展代码移动到自己的全新文件中，而不是将其拆分为 mm/mmap.c 和 mm/memory.c，我试图保持补丁最小化，但由于无论如何都必须回传到最初的maple treeVMA 介绍中。     转自Freebuf，原文链接：https://www.freebuf.com/news/371340.html 封面来源于网络，如有侵权请联系删除

Cyble研究和情报实验室的研究人员发现了Akira勒索软件一个复杂的Linux变体。 在最近的一份报告中，Cyble研究和情报实验室（CRIL）详细介绍了Akira勒索软件的一个复杂的Linux变体，引起了人们对Linux环境越来越容易受到网络威胁的关注。 Akira勒索软件一直在积极针对各行业的众多组织，对组织的网络安全和敏感数据构成了不小的威胁。 Akira勒索软件的Linux变体 2023年4月出现以来，Akira勒索软件已经危害了46名公开披露的受害者。 值得注意的是，自CRIL关于Akira勒索软件的上一份报告至今，又有30名受害者被确认，这表明该组织的影响越来越大。这些受害者大多数都在美国。 受影响的组织横跨各个行业，包括教育、银行、金融服务和保险（BFSI）、制造业和服务业等。 恶意的Linux可执行文件是一个64位Linux可执行和可链接格式（ELF）文件。 要执行Akira可执行文件，必须提供特定的参数。例如，需要加密的文件/文件夹的路径，加密的共享网络驱动器的路径，加密的文件的百分比，以及创建一个子进程进行加密。 Akira勒索软件的Linux变体： 技术细节 要运行Akira勒索软件的Linux变种，需要给出具体的指令，称为参数。 这些参数包括诸如要加密的文件或文件夹的位置、加密的共享网络驱动器、加密的文件的百分比以及创建一个用于加密的子进程。 当勒索软件被执行时，它使用一种称为RSA的特殊加密类型来锁定计算机上的文件。这种加密方式使文件在没有解密密钥的情况下无法打开。 该勒索软件有一个特定文件类型的清单，其目的是进行加密。这些文件类型包括各种扩展名，如文档、数据库、图像等。如果一个文件符合这些扩展名中的任何一个，该勒索软件将对其进行加密。 Akira勒索软件的Linux变体使用不同的对称密钥算法，包括AES、CAMELLIA、IDEA-CB和DES，来执行加密过程。这些算法有助于扰乱文件中的数据，使其无法访问。 执行后，Akira勒索软件会加载一个预先确定的RSA公钥来启动加密过程。同时每个被攻击的文件都会被附加”.akira “的文件扩展名，并在受害者的系统中存入了一张赎金票据。 Akira勒索软件的Linux变种揭示了Linux平台上的系统对网络威胁越来越脆弱。 因此，使用Linux环境的组织必须保持警惕，并实施强有力的安全措施，以防止勒索软件攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370646.html 封面来源于网络，如有侵权请联系删除

据Security Affairs消息，近期披露的一个严重 Linux 内核漏洞会影响 SMB 服务器，可能导致远程代码执行。 该漏洞的 CVSS 评分达到了最高级别的10分，影响启用了 KSMBD 的服务器。KSMBD 是一个 Linux 内核服务器，它在内核空间实现 SMB3 协议，用于通过网络共享文件，未经身份验证的远程攻击者可以在易受攻击的 Linux 内核安装上执行任意代码。 趋势科技在其网站上的发布的漏洞披露显示，虽然利用此漏洞不需要身份验证，但只有启用了KSMBD 的系统容易受到攻击。漏洞存在于 SMB2_TREE_DISCONNECT 命令的处理过程中，是由于在对象执行操作之前没有验证对象的存在，攻击者可以利用此漏洞在内核上下文中执行任意代码。 Thales Group 的 Thalium 团队的研究人员于今年7月26日首次发现了该漏洞，12 月 22 日该漏洞得到公开披露。 云安全初创公司 wiz.io 的研究主管Shir Tamari表示，由于 KSMBD 模块不像 Samba 套件那样流行，因此尽管漏洞很严重，但其潜在影响可能有限。该漏洞仅影响使用 Linux 5.15 中引入KSMBD 模块的 SMB 服务器。若用户的 SMB 服务器使用 Samba，则不会受到任何影响。 为此，使用 KSMBD的用户必须更新到自8 月之后发布的新版Linux 内核版本——5.15.61及以上版本。   转自 Freebuf，原文链接：https://www.freebuf.com/news/353584.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 现已删除的流氓软件包被推送到Python的官方第三方软件存储库，该软件包可以在Linux系统上部署加密矿工。 该模块名为“secretslib”，在删除前下载了93次，于2022年8月6日发布到Python包索引（PyPI），并被描述为“简化了秘密匹配和验证”。 Sonatype研究人员Ax Sharma上周在一份报告中透露：“经过仔细检查，该软件包在内存中的Linux机器上秘密运行加密矿工（直接从RAM中），这种技术主要被无文件恶意软件和加密器使用。” 它通过在安装后执行从远程服务器检索的Linux可执行文件来实现这一点，其主要任务是将ELF文件（“memfd”）直接放入内存中，该文件充当Monero加密矿工的作用，然后被“secretslib”包删除。 该软件包背后的黑客滥用了阿贡国家实验室（美国能源部资助的实验室）一名合法软件工程师的身份和联系信息，来提高该恶意软件的可信度。 简而言之，这个想法就是在用户不知情或不同意的情况下，将这些被感染的库分配给受信任、受欢迎的维护人员，从而欺骗用户下载它们——这种供应链威胁被称为“package planting”。 PyPi采取措施清除了10个恶意软件包，这些软件包经过精心编排以获取密码和API令牌等关键数据点。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，FortiGuard实验室的研究人员发现了一种新型物联网（IoT）僵尸网络“RapperBot”，自2022年6月中旬以来就一直处于活动状态。 该僵尸程序从原始Mirai僵尸网络中借用了大部分代码，但与其他IoT恶意软件家族不同，它实现了一种内置功能来暴力破解凭据并获得对SSH服务器（而非在Mirai中实现的Telnet）的访问权限。 专家们还注意到，最新的样本包括保持持久性的代码，这在其他Mirai变体中很少实现。 RapperBot具有有限的DDoS功能，它旨在针对ARM、MIPS、SPARC和x86架构。 根据FortiGuard实验室发布的分析结果指出， “与大多数Mirai变体（使用默认或弱密码暴力破解Telnet服务器）不同，RapperBot专门扫描并尝试暴力破解配置为‘接受密码身份验证’的SSH服务器。其大部分恶意软件代码包含一个SSH 2.0客户端的实现，可以连接和暴力破解任何支持Diffie-Hellmann密钥交换的768位或2048位密钥以及使用AES128-CTR数据加密的SSH服务器。RapperBot暴力破解实现的一个显著特征是在SSH协议交换阶段使用‘SSH-2.0-HELLOWORLD’向目标SSH服务器标识自己。”   该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中，但从7月开始，新的样本开始从C2服务器检索该列表。 自7月中旬以来，RapperBot开始使用自我传播方式来维持对暴力破解SSH服务器的远程访问。该僵尸网络运行一个shell命令，将远程受害者的“ ~/.ssh/authorized_keys”替换为包含威胁参与者SSH公钥的命令。 一旦将公钥存储在 ~/.ssh/authorized_keys中，任何拥有相应私钥的人都可以在不提供密码的情况下验证SSH服务器。 RapperBot还能通过在执行时将上述相同的SSH密钥附加到受感染设备的本地“~/.ssh/authorized_keys”上，来保持其在任何设备上的立足点。这允许该恶意软件通过SSH保持对这些受感染设备的访问权限，即便是设备重启或从设备中删除RapperBot也无济于事。 该报告补充道， “在最新的RapperBot样本中，该恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将root用户‘suhelper’添加到受感染的设备，进一步允许攻击者完全控制设备。同时，它还通过写入脚本‘/etc/cron.hourly/0’每小时添加一次root用户帐户，以防其他用户（或僵尸网络）试图从受害者系统中删除他们的帐户。” 该僵尸网络的早期版本具有纯文本字符串，但随后的版本通过将字符串构建在堆栈上，为字符串添加了额外的混淆，以逃避检测。 数据显示，自6月中旬以来，该僵尸网络使用全球3,500多个唯一IP扫描并尝试使用SSH-2.0-HELLOWORLD客户端标识字符串暴力破解Linux SSH服务器。其中，大多数IP来自美国、台湾和韩国。 最后，研究人员称，RapperBot的目标仍不明朗。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341192.html 封面来源于网络，如有侵权请联系删除

虽然通常情况下，对CPU漏洞进行安全缓解工作在漏洞禁运日的状态良好，但Retbleed是一个例外。在Retbleed被公开近两周后，围绕它的Linux内核补丁修复工作仍在继续，今天在Linux 5.19-rc8之前有更多的补丁被送来，以解决缓解处理带来的影响。 这次的Retbleed补丁有点粗糙，许多问题直到这次投机执行攻击被公开和补丁被合并到Linux内核之后才被发现。在Retbleed补丁在”补丁星期二”登陆Linux内核后，各组织的Linux内核持续集成（CI）和构建方开始从被缓解的代码中发现一些边缘案例和不同的构建/运行时间问题。这些问题的出现要归功于于开发人员意识到并能够查看这些内核补丁。 随后一些后续的修复措施开始解决Retbleed代码的各种问题，今天又有一轮Retbleed的余波正在为情况依然不佳的Linux 5.19-rc8进行“再包扎”。 将近两周后，由于各种问题的出现，Retbleed的缓解措施仍然没有在Linux稳定系列中出现。但随着Retbleed修复措施的放缓，看起来缓解措施和所有的修复措施将很快在目前支持的稳定/LTS系列中首发。 今天早上，随着v5.19-rc8的x86/urgent新闻组列表更新，好消息终于来到，Borislav Petkov给Linus Torvalds发来消息说： Hi，Linus请再拉出几个retbleed的fallout fixes。看起来他们的紧迫性在降低，所以看起来我们已经成功地抓住了规模有限的-rc测试所暴露的任何漏洞。也许我们正在准备… 🙂 一些修复以防止返回thunks修补不需要的LKDTM模块，避免在eIBRS部分的每个内核条目上写入SPEC_CTRL MSR，从而增强错误输出；通过在AMD CPU上发出IBPB来保护EFI固件调用，以及将Retbleed缓解明确限制在x86_64内核。正如昨天所指出的，Retbleed缓解措施在x86 32位内核上不起作用，而且关键的上游开发者也没有兴趣去做这方面的支持。这些只是功能修复，但Retbleed对受影响的CPU型号仍有相当大的影响。 这些Retbleed修复和其他各种修复将是今天晚些时候推出的Linux 5.19-rc8内核的一部分。Linux 5.19稳定版预计将在下周末发布。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1296215.htm 封面来源于网络，如有侵权请联系删除

在现代 Linux 操作系统上运行了最初为 UNIX 平台打造的 Lotus 1-2-3 短短几个月后，Google Project Zero 团队成员兼白帽黑客的 Tavis Ormandy，现又将 1990 年代的经典 UNIX 版 WordPerfect 7 文字处理软件，给移植到了 Linux 上。 WordPerfect 7 for UNIX / 2022 Linux 终端移植版 Tavis Ormandy 甚至将它封装在了一个 .DEB 包中，以便 Ubuntu 和 Debian 等 Linux 发行版的用户品尝（GitHub 传送门）。 由于 WordPerfect 几乎没有外部依赖项，我们也没期待这款从 1997 年穿越而来的 Linux 应用程序会有任何更新。 作为最初的“文本模式”版本，它不仅能够在终端窗口中调用、也可以在 Linux 控制台上运行。 与 Lotus 1-2-3 不同，WordPerfect 最初并不非 DOS 应用程序、而是在 Data General 小型机上编写的。 后台它被移植到了许多操作系统上，包括 DEC OpenVMS、OS/2、NeXTstep、Atari ST 和 Commodore Amiga，以及 Apple II、IIGS 和经典 MacOS 。 除了上述平台，还有各种专有的 UNIX 版本，包括 SCO Xenix —— 这也是 Ormandy 本次 Linux 移植工作的落手点。 这意味着作为一款字符模式的应用程序，WordPerfect 可以在确切的硬件终端上运行，比如 Wyse 60、或 SCO Xenix 服务器的控制台。 需要指出的是，对 Xenix 来说，X 窗口系统是个昂贵的可选配件，大多数客户从未选购。 适用于现代 Linux 的完全图形化 WordPerfect 8 在 WordPerfect 5 之前，该程序有一个非常特殊的用户界面（UI），且需要用到大量功能键 —— 每个键都有单独的定义，辅以 Shift、Alt 或 Ctrl+Shift 、 Alt+Ctrl 等复杂的组合。 如果手头没有一份功能指南，WordPerfect 的难度可想而知。绝望的用户甚至专门复印了一本，然后手工修剪并拼贴出了一份。 如果你打算安装 Ormandy 移植来的 1990 年代复古版软件，请记得 F1 表示‘重复字符’、F3 才是帮助。 此外下拉菜单是 Esc+= 组合键，而不是 Alt、F10、或其它 DOS 应用程序常用的那些。 不过在 WordPerfect 7 之后，WordPerfect Corp 也没有停止运作，而是推出了适配 1990 年代 Linux GUI 的 WordPerfect 8 系列。 尽管方块的布局显得不太优雅，但至少功能方面很是完整。除了 8.0 / 8.1 两个版本，官方还提供了可免费下载、使用和共享的选项， 此外还有随各大 Linux 发行版一起分发的 SKU，比如 Corel LinuxOS、SUSE Linux 和 Caldera OpenLinux 。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1295251.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员揭开了一种全新的、完全未被发现的Linux威胁，称为OrBit，这标志着针对流行操作系统的恶意软件攻击呈日益增长的趋势。 根据网络安全公司Intezer的说法，该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”)。 “它既可以安装持久性功能，也可以作为挥发性植入物，”安全研究员Nicole Fishbein说。“该恶意软件实施高级规避技术，并通过hook关键功能在机器上获得持久性，通过SSH为黑客提供远程访问能力，获取凭据并记录TTY命令。” 该恶意软件的功能与Symbiote非常相似，因为它旨在感染受损机器上所有正在运行的进程。但与后者利用LD_PRELOAD环境变量来加载共享对象不同，OrBit采用两种不同的方法。 “第一种方法是将共享对象添加到加载程序使用的配置文件中，”Fishbein解释道。“第二种方法是修补加载程序本身的二进制文件，以便加载恶意共享对象。” 攻击链从一个负责提取有效负载(“libdl.so”) 的ELF传输器文件开始，并将其添加到动态链接器加载的共享库中。 流氓共享库被设计为 hook三个库（libc，libcap和Pugable Authentication Module（PAM））中的函数，导致现有和新进程使用修改后的函数，基本上允许它获取凭据、隐藏网络活动，并通过SSH设置对主机的远程访问，同时一直保持在雷达之下。 此外，OrBit依赖于一连串的方法，使其能够在不通知其存在的情况下运行，并以一种难以从受感染的计算机中删除的方式建立持久性。 一旦启动，这个后门程序的最终目标是通过hook读写函数来窃取信息，从而捕获机器上执行的进程正在写入的数据，包括bash和sh命令，这些命令的结果存储在特定的文件中。 针对Linux的威胁在继续发展的同时成功地保持在安全工具的雷达下，现在OrBit是新恶意软件如何规避和持久化的又一个例子。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文