Pengembang keamanan Linux muda dan sedang naik daun Alexander Popov dari Russia’s Positive Technologies menemukan dan memperbaiki satu set lima lubang keamanan dalam implementasi soket virtual kernel Linux. Penyerang dapat menggunakan kerentanan ini (CVE-2021-26708) untuk mendapatkan akses root dan melumpuhkan server dalam serangan Denial of Service (DoS).
Dengan skor dasar Common Vulnerability Scoring System (CVSS) v3 7.0, dengan tingkat keparahan yang tinggi, administrator Linux yang cerdas akan menambal sistem mereka sesegera mungkin.
Meskipun Popov menemukan bug di server Fedora 33 distribusi Linux komunitas Red Hat, bug tersebut ada di sistem yang menggunakan kernel Linux dari versi 5.5 November 2019 hingga kernel jalur utama saat ini versi 5.11-rc6.
Celah ini memasuki Linux ketika dukungan multi-transport soket virtual ditambahkan. Transportasi jaringan ini memfasilitasi komunikasi antara mesin virtual (VM) dan hostnya. Ini biasanya digunakan oleh agen tamu dan layanan hypervisor yang memerlukan saluran komunikasi yang independen dari konfigurasi jaringan VM. Dengan demikian, orang-orang yang menjalankan VM di cloud, yang merupakan hampir semua orang saat ini, sangat rentan.
Popov juga menyiapkan tambalan dan mengungkapkan kerentanan kepada tim keamanan kernel Linux. Greg Kroah-Hartman, kepala pengelola kernel Linux yang stabil, menerima tambalan ke Linux 5.10.13 pada tanggal 3 Februari. Sejak itu, tambalan tersebut telah digabungkan ke dalam kernel versi utama versi 5.11-rc7 dan di-backport ke pohon stabil yang terpengaruh.
Patch juga telah dimasukkan ke dalam distribusi Linux yang populer seperti Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu, dan SUSE.
selengkapnya : ZDNET
