Қауіпсіздік сарапшылары Linux жүйесінде көптеген түбірлік қатынас осалдықтарын табады

Қауіпсіздік сарапшылары Linux жүйесінде көптеген түбірлік қатынас осалдықтарын табады
Қауіпсіздік сарапшылары Linux жүйесінде көптеген түбірлік қатынас осалдықтарын табады
Anonim

Түбірлік артықшылықтарға ие болатын зиянды кодтан жаман ештеңе жоқ, өйткені бұл жүйеге толық және абсолютті бақылау береді.

Ubuntu Linux пайдаланушылары дәл осындай тәуекелге ұшырайды, деп Qualys киберқауіпсіздік фирмасының хабарлауынша, компанияның осалдық пен қауіптерді зерттеу жөніндегі директоры жазған блог жазбасында айтылған. Qualys олар Ubuntu Linux жүйесінде зиянды бағдарламалық пакеттер арқылы түбірге кіруге мүмкіндік беретін екі кемшілік тапқанын атап өтті.

Image
Image

Кемшіліктер Ubuntu Linux жүйесіне арналған Snap деп аталатын кең таралған пакет менеджерінде болады, бұл бағдарламалық құрал әдепкі бойынша Ubuntu Linux жүйесінде және басқа да негізгі Linux дистрибьюторларының кең ауқымында жеткізілетіндіктен, шамамен 40 миллион пайдаланушыға қауіп төндіреді. Canonical әзірлеген Snap мүмкіндігі шектеулі контейнерлерде жұмыс істейтін "snaps" деп аталатын дербес қолданбаларды орауға және таратуға мүмкіндік береді.

Бұл контейнерлерден құтылатын кез келген қауіпсіздік ақаулары өте маңызды болып саналады. Осылайша, артықшылықты арттыру қателерінің екеуі де жоғары ауырлықтағы қауіптер ретінде бағаланады. Бұл осалдықтар артықшылығы төмен пайдаланушыға зиянды кодты root ретінде орындауға мүмкіндік береді, бұл Linux жүйесіндегі ең жоғары әкімшілік тіркелгісі болып табылады.

«Qualys қауіпсіздік зерттеушілері осалдықты дербес тексере алды, эксплойт әзірледі және Ubuntu әдепкі орнатуларында толық түбірлік артықшылықтарға ие болды», - деп жазды олар. "Осалдықтар туралы жауапкершілікпен хабарлау және оларды түзетіп, дереу жою өте маңызды."

Qualys сонымен қатар кодта алты басқа осалдықты тапты, бірақ олардың барлығы тәуекелділігі төмен болып саналады.

Сонда не істеу керек? Ubuntu екі осалдық үшін де патчтар шығарған. CVE-2021-44731 патчын осы жерден және CVE-2021-44730 үшін мына жерден жүктеп алыңыз.

Ұсынылған: