9.9分RCE漏洞影响所有GNU/Linux系统

这个漏洞的存在时间可能超过十年之久，直到最近才被Simone Margaritelli发现。根据研究人员与开发者的协议，该漏洞将在未来两周内全面公开披露。令人担忧的是，尽管该漏洞的严重性已经得到主流Linux发行版厂商（如Canonical和Red Hat等）的确认，CVSS评分高达9.9（满分10分），但由于漏洞的复杂性和部分开发者对漏洞影响的争论，修复过程进展缓慢，目前尚未发布任何有效的修复方案。

另一方面，漏洞披露过程也并非一帆风顺，发现该漏洞的研究人员表达了对漏洞披露过程的强烈不满。——研究员花费了三周的休假时间专注于研究和披露该漏洞，却遭到了一些开发者的抵触和轻视，开发者不愿承认代码中存在缺陷。研究人员表示，即使提供了多个概念验证（PoC）用以反驳开发者，漏洞披露的进展依然缓慢。

这一冲突再次凸显了负责任的漏洞处理的重要性。在漏洞披露过程中，开发者和研究人员应该保持积极的沟通和合作，以期共同维护网络安全。开发者在面对漏洞时，应以积极的心态去解决问题，而不是回避责任。同时，研究人员也应该理解开发者在修复漏洞时可能面临的困难，在披露漏洞时应该兼顾安全性和及时性，避免造成不必要的恐慌。

对此安全威胁，Linux社区应高度警惕，并积极采取措施来降低风险。在漏洞细节完全披露和修复补丁发布之前，用户可以考虑采取以下措施：

① 保持信息灵通。关注来自可信的安全新闻来源和官方厂商的更新信息，及时了解漏洞的最新进展。

② 加强安全防护。检查并增强现有的安全措施，例如防火墙、入侵检测系统等，尽可能减少攻击面。

③ 及时部署补丁。一旦修复补丁发布，应做好快速部署的准备，确保系统及时得到更新和修复。

④ 加强安全意识。提高自身的安全意识，避免点击可疑链接、下载不明文件等，防止恶意软件入侵系统。

资讯来源：threadreaderapp

转载请注明出处和本文链接

球分享

球点赞