Tietoturva-asiantuntijat löytävät Linuxissa useita root-pääsyn haavoittuvuuksia

Tietoturva-asiantuntijat löytävät Linuxissa useita root-pääsyn haavoittuvuuksia
Tietoturva-asiantuntijat löytävät Linuxissa useita root-pääsyn haavoittuvuuksia
Anonim

Mikään ei ole pahempaa kuin haitallinen koodi, joka saa pääkäyttäjän oikeudet, koska se antaa sille täydellisen ja täydellisen hallinnan järjestelmään.

Ubuntu Linux -käyttäjät ovat kyberturvallisuusyhtiö Qualysin mukaan vaarassa juuri tästä, kuten heidän haavoittuvuus- ja uhkatutkimuksensa johtajan kirjoittamassa yrityksen blogiviestissä kerrotaan. Qualys huomauttaa, että he ovat havainneet Ubuntu Linuxissa kaksi puutetta, jotka mahdollistaisivat pääkäyttäjän pääsyn huonoille ohjelmistopaketteille.

Image
Image

Vitteet ovat laaj alti käytetyssä Ubuntu Linuxin Snap-paketinhallinnassa, mikä vaarantaa noin 40 miljoonaa käyttäjää, koska ohjelmisto toimitetaan oletuksena Ubuntu Linuxille ja monille muille suurille Linux-jakelijoille. Canonicalin kehittämä Snap mahdollistaa snapsiksi kutsuttujen itsenäisten sovellusten pakkaamisen ja jakelun, jotka toimivat rajoitetuissa säiliöissä.

Kaikki näistä konteista selviävät turvallisuusvirheet katsotaan erittäin vakaviksi. Sellaisenaan molemmat käyttöoikeuksien eskalaatiovirheet luokitellaan erittäin vakaviksi uhiksi. Näiden haavoittuvuuksien ansiosta heikommassa asemassa oleva käyttäjä voi suorittaa haitallista koodia pääkäyttäjänä, joka on Linuxin korkein järjestelmänvalvojatili.

"Qualys-tietoturvatutkijat ovat pystyneet itsenäisesti varmistamaan haavoittuvuuden, kehittämään hyväksikäytön ja hankkimaan täydelliset pääkäyttäjän oikeudet Ubuntun oletusasennuksiin", he kirjoittivat. "On elintärkeää, että haavoittuvuuksista ilmoitetaan vastuullisesti ja ne korjataan ja vähennetään välittömästi."

Qualys löysi myös kuusi muuta haavoittuvuutta koodista, mutta näiden kaikkien katsotaan olevan pienempi riski.

Mitä sinun pitäisi tehdä? Ubuntu on jo julkaissut korjaustiedostoja molempiin haavoittuvuuksiin. Lataa korjaustiedoston CVE-2021-44731 täältä ja CVE-2021-44730 täältä.

Suositeltava: