უსაფრთხოების ექსპერტებმა აღმოაჩინეს მრავალი Root-Access დაუცველობა Linux-ზე

უსაფრთხოების ექსპერტებმა აღმოაჩინეს მრავალი Root-Access დაუცველობა Linux-ზე
უსაფრთხოების ექსპერტებმა აღმოაჩინეს მრავალი Root-Access დაუცველობა Linux-ზე
Anonim

არაფერია უარესი, ვიდრე მავნე კოდი, რომელიც იძენს root პრივილეგიებს, რადგან ეს აძლევს მას სრულ და აბსოლუტურ კონტროლს სისტემაზე.

Ubuntu Linux-ის მომხმარებლები სწორედ ამის რისკის ქვეშ არიან, კიბერუსაფრთხოების ფირმა Qualys-ის თანახმად, როგორც ნათქვამია კომპანიის ბლოგ პოსტში, რომელიც დაწერილია მათი დაუცველობისა და საფრთხეების კვლევის დირექტორის მიერ. Qualys აღნიშნავს, რომ მათ აღმოაჩინეს ორი ხარვეზი Ubuntu Linux-ში, რაც საშუალებას მისცემდა root წვდომას მავნე პროგრამული პაკეტებისთვის.

Image
Image

ხარვეზები გვხვდება Ubuntu Linux-ის ფართოდ გამოყენებულ პაკეტების მენეჯერში, სახელწოდებით Snap, რაც საფრთხეში აყენებს დაახლოებით 40 მილიონ მომხმარებელს, რადგან პროგრამული უზრუნველყოფა ნაგულისხმევად მიეწოდება Ubuntu Linux-ზე და Linux-ის სხვა მსხვილ დისტრიბუტორების ფართო სპექტრს. Canonical-ის მიერ შემუშავებული Snap საშუალებას გაძლევთ შეფუთოთ და გაავრცელოთ დამოუკიდებელი აპლიკაციები, სახელწოდებით „snaps“, რომლებიც მუშაობენ შეზღუდულ კონტეინერებში.

უსაფრთხოების ნებისმიერი ხარვეზი, რომელიც გაურბის ამ კონტეინერებს, ითვლება უკიდურესად სერიოზულად. როგორც ასეთი, პრივილეგიების ესკალაციის ორივე შეცდომა შეფასებულია, როგორც მაღალი სიმძიმის საფრთხე. ეს დაუცველობა საშუალებას აძლევს დაბალი პრივილეგირებულ მომხმარებელს, შეასრულოს მავნე კოდი root-ის სახით, რომელიც არის ყველაზე მაღალი ადმინისტრაციული ანგარიში Linux-ზე.

„Qualys-ის უსაფრთხოების მკვლევარებმა შეძლეს დამოუკიდებლად გადაამოწმონ დაუცველობა, განავითარონ ექსპლოიტი და მიიღონ სრული root პრივილეგიები Ubuntu-ს ნაგულისხმევ ინსტალაციაზე“, - წერენ ისინი. „სასიცოცხლო მნიშვნელობისაა, რომ დაუცველობაზე პასუხისმგებლობით იყოს მოხსენებული და დაუყოვნებლივ აღმოიფხვრას და შემცირდეს.“

Qualys-მა ასევე აღმოაჩინა ექვსი სხვა დაუცველობა კოდში, მაგრამ ეს ყველაფერი ითვლება დაბალ რისკებად.

მაშ რა უნდა გააკეთო? Ubuntu-მ უკვე გამოუშვა პატჩები ორივე დაუცველობისთვის. ჩამოტვირთეთ პატჩი CVE-2021-44731-ისთვის აქ და CVE-2021-44730 აქ.

გირჩევთ: