Уязвимость в Linux Netfilter позволяет выполнить код на уровне ядра

Уязвимость в Linux Netfilter позволяет выполнить код на уровне ядра

Уязвимость в Linux Netfilter позволяет выполнить код на уровне ядра

В подсистеме Netfilter ядра Linux выявлена уязвимость, позволяющая локальному пользователю повысить привилегии и выполнить произвольный код, выйти за пределы контейнера или вызвать в системе состояние отказа в обслуживании (DoS).

Проблема CVE-2022-25636 (7,8 балла CVSS) классифицируется как запись за границами буфера в куче. Опасная ошибка возникает при выполнении функции nft_fwd_dup_netdev_offload, отвечающей за настройку правил пакетного фильтра и проверку поддержки аппаратного ускорения обработки пакетов (offload).

Уязвимости подвержены версии ядра Linux с 5.4 по 5.6.10. Патч уже создан, но корректирующие выпуски ядра пока не появились. Списки затронутых пакетов в дистрибутивах с указанием статуса опубликованы на сайтах Red Hat, Ubuntu и SUSE.

Как оказалось, в Ubuntu новую дыру оперативно залатали, притом одновременно с Dirty Pipe (CVE-2022-0847). Эта раскрытая в начале марта уязвимость тоже позволяет локально повысить привилегии и грозит захватом контроля над системой.

Два дня назад автор новой находки в ядре Linux раскрыл подробности CVE-2022-25636 и рассказал, как ему удалось создать PoC-код, который подходит и для сетевых устройств, не поддерживающих offload. Исследователь также отметил, что пока он готовил блог-запись, на GitHub появился похожий эксплойт, но проверить работоспособность чужого инструмента он не успел.

Переход школ на отечественный офис тормозят учебники и старые компьютеры

Российские школы постепенно переходят на отечественное офисное ПО, но тормозит процесс вовсе не качество программ. Главным препятствием неожиданно оказались учебники. Эту тему обсудили 29 июня на рабочем совещании в Госдуме, посвященном импортозамещению офисного ПО в образовании.

Во встрече приняли участие представители федеральных ведомств, регионов, АРПП «Отечественный софт» и российских разработчиков.

По данным ежегодного исследования АРПП, уже около 30% регионов используют российские офисные пакеты при проведении ОГЭ и ЕГЭ по информатике. Одновременно доля Microsoft Office в школах за год сократилась почти на 40%, его заменяют отечественные решения или LibreOffice.

Однако, как отметила глава комитета по цифровизации образования АРПП Анастасия Горелова, переход остается скорее техническим, чем методическим.

«Сегодня все учебники и пособия по информатике по-прежнему ориентированы на Microsoft Office. Чтобы переход стал реальным, необходимо обновить учебные программы и методические материалы», — подчеркнула она.

О своих разработках рассказали представители «МойОфис» и Р7, заявившие о высокой совместимости с форматами DOCX, XLSX и PPTX, а также о поддержке российских операционных систем и бесплатной помощи регионам.

Но на местах хватает и практических проблем. В Псковской области до 25% компьютеров не способны нормально работать с новым ПО, а также возникают сложности с электронной подписью в Linux. В Удмуртии к 1 сентября рассчитывают перевести на российский софт около 30% учебных классов, однако главным препятствием остается устаревшая техника. В Калининградской области российское ПО все чаще используют на экзаменах, но образовательные стандарты пока по-прежнему ориентированы на зарубежные продукты.

Еще одна неожиданная проблема — рынок труда. Участники встречи обратили внимание, что в вакансиях крупных госкомпаний до сих пор почти всегда требуют знание Microsoft Office, тогда как владение российскими аналогами зачастую вообще не учитывается.

По итогам совещания участники предложили Минпросвещения синхронизировать выпуск новых учебников с внедрением отечественного ПО, а Минцифры — создать рабочую группу по вопросам совместимости российских операционных систем и офисных пакетов, а также проработать облегченные версии программ для старых компьютеров.

RSS: Новости на портале Anti-Malware.ru