一些在 Linux 发行版中存在十多年的远程代码执行漏洞将在不到两周的时间内披露,这些漏洞大约有 3~6 个,目前具体的 CVE 编号尚未公布。其中 Ubuntu 发行商 Canonical 和 RHEL 发行商 RedHat 等已经确认这些漏洞的严重性,如果这些漏洞遭到利用可能会给整个业界造成灾难。
未经验证的 RCE
目前最大的问题在于开发者们仍然在争论漏洞是否会影响安全性,发现漏洞的研究人员表示对于整个处理和披露过程感到非常沮丧。
具体原因似乎是漏洞提交后部分开发者不愿意承认,尽管研究人员提供了多个概念验证系统性的反驳了一些开发者的假设,但整个漏洞的处理过程依然缓慢。
有多缓慢呢?大约在 2 周后这一系列漏洞会被公开披露,但很有可能到时候还有不少 Linux 发行版没有提供公开可用的补丁,也就是漏洞披露后都没法修复。
研究人员称赞 Canonical 在整个漏洞协调和处理过程中的努力,不过如果只有 Ubuntu 和 RHEL 得到修复那显然是不够的,其他 Linux 发行版暂时还没有看到太多消息。
有开源社区成员称这件事对 Linux 和开源社区来说都是极其糟糕的公关,无论这些漏洞是否属于典型的安全缺陷,也都应该拿出来讨论而不是否认或诋毁。
最后还不清楚 FreeBSD 等基于 BSD 的项目是否是此漏洞影响,建议使用 Linux 系统尤其是在服务器上使用 Linux 的开发者和企业关注后续情况。