Дефект, обнаруженный двумя программистами, позволяет пользователю, имеющему доступ к Linux-серверу, вывести систему из строя при помощи короткого кода на языке С, говорится в предупреждении, выложенном на linuxreviews в выходные.
«Без веской причины считать свое ядро защищенным считайте, что оно уязвимо», — пишет Ойвинд Зедер, один из программистов, нашедших ошибку.
Согласно сопроводительной записке к поправке, опубликованной основателем Linux Линусом Торвальдсом, программа, которая называется evil.c, вызывает проблемы с кодом, направляемым в математический сопроцессор — блок процессора, выполняющий операции с плавающей запятой.
В этом году на операционную систему с открытым исходным кодом обрушился град атак и дефектов. Несколько ошибок было обнаружено в Concurrent Versions System (CVS), популярном приложении для управления кодом open source в процессе разработки. А в марте и апреле онлайновые вандалы атаковали Linux и Solaris во многих крупных академических вычислительных центрах. Ошибки обнаружились и в программном обеспечении OpenSSL, используемом многими дистрибутивами Linux для организации защищенной связи через интернет.
В понедельник специалисты Red Hat, работающие над бесплатным дистрибутивом Fedora, выпустили обновление для Fedora Core 2, устраняющее обнаруженный дефект. Заплатка внесена и в последнюю версию release candidate ядра Linux 2.6.7-RC3, которая должна выйти в ближайшее время. На этой неделе обещают исправить и другие дистрибутивы Linux.
Эндрю Мортон, мейнтейнер ядра Linux 2.6, пообещал поправку в течение 48 часов и сказал, что ошибка не очень серьезная. «Баги, позволяющие локальным пользователям заблокировать машину, не редкость, и такие пользователи всегда могли вывести систему из строя — например, задействовав всю ее память», — сказал он.
По словам Мортона, те, кто нашел ошибку, выпустили код для ее использования, ничего не сообщив разработчикам ядра — в секьюрити-сообществе подобные вещи не допускаются.