硬核观察 # 577 影响所有 Linux 防火墙的安全漏洞被发现

3AAA

影响所有 Linux 防火墙的安全漏洞被发现


安全研究人员在 Linux 的 netfilter 中发现了 一个漏洞，“可以利用它来实现内核代码的执行，能够做到完全的本地权限提升、容器逃逸等。”几乎所有的 Linux 防火墙工具，如 iptables、nftables、firewalld 和 ufw 背后都有 netfilter，它控制着进出 Linux 的网络栈。漏洞原因是 netfilter 没有正确处理硬件卸载功能，即使被攻击的硬件没有卸载功能。这个漏洞存在于 Linux 内核 5.4 到 5.6.10 版本中。影响了最近的主要发行版，如 RHEL 8.x、Debian Bullseye、Ubuntu Linux 和 SUSE SLE 15.3。

老王点评：几乎所有的 Linux 都会启用 netfilter 防火墙，因此这个漏洞必须得补上，而无法规避。

20 年的 Debian 开发者被排挤出项目


一位在 Debian 项目中服务超过 20 年的开发者在去年 12 月被降级为维护者，导致他决定 离开该项目。他称，Debian 客户经理团队认为他“多年来一直在欺负项目成员”，“不能与社区团队沟通”。他现在已经加入了 Arch Linux 项目。他表示他将在以后的博文中解释更多的情况。

老王点评：是非曲直我们并不知道，但是有人的地方就有江湖，开源社区也不例外。

英特尔准备让其 SGX 支持 Linux 下的微码更新


越来越多的用户对他们的内核进行热补丁，并在不重启系统的情况下应用微码更新。但英特尔的“软件防护扩展”（SGX）还不允许实时微码更新。在一个正在运行的系统上进行 CPU 微码更新将破坏 SGX 认证，SGX 将停留在认证旧版本上，直到重新启动，而新的更新由于不同的版本而被认为受损。英特尔 正在引入一个新的 SGX 指令 “EUPDATESVN”，允许其证明更新的微代码信息，而不需要重新启动。

老王点评：虽然 SGX 屡屡出现安全问题，但是这个对安全还是很有意义的，要是能支持实时微码更新，那就更好了。

回音

被曝在 Windows 11 Insider 的文件管理器测试广告后，微软表示，这是一个实验性的横幅，并不打算对外发布，并且已经被关闭了，但不排除未来在文件资源管理器中出现广告。