Mõni päev tagasi avaldati X.Org-serveriga leitud viga, mis ohustas Linuxi ja BSD-süsteemide turvalisust.
Töötajad ZDNet oli see, kes hoiatas uue turvarikkumise eest X.Org-is, mis võimaldas ründajal saada süsteemile piiratud juurdepääsu.
Leitud rikkest
Leitud tõrge on X.Org-serveris see võimaldas sissetungijal saada piiratud ligipääs süsteemile, mis võib toimuda terminali kaudu kohapeal või SSH-seansi kaudu kaugjuhtimisega, õnnestudes nii õigusi muuta ja juurrežiimi saavutada.
Leitud haavatavus See ei kuulu "ohtlike" tüüpi rikete kategooriasse Samuti ei ole see tõrge, mis võib muretseda hästi planeeritud ja kõrge turvalisusega arvutite pärast.
Kuid see väike viga, mida ründaja, kellel on piisavalt teadmisi, hästi kasutab, võib kiiresti muuta midagi, millel pole murettekitavat kohutavat sissetungi, ütleb Catalin Cimpanu.
Seda ei saa kasutada turvalistesse arvutitesse tungimiseks, kuid see on ründajatele siiski kasulik, sest see võib lihtsatest sissetungidest kiiresti teha ekslikke piruette.
Ehkki Linuxi ja infoseci kogukonnad ei saanud haavatavust ignoreerida, hakkasid nad selle turvavea olemasolu eelmisel neljapäeval avalikustama, paranduse kallal töötama.
Rike avastati juba aastaid tagasi
ZDNeti poolt ära kuulatud turvakonsultant Narendra Shinde hoiatas seda See viga juhiti tähelepanu nende 2016. aasta mai aruandele ja et X.Org Serveri pakett sisaldab seda haavatavust mis võib anda ründajatele juurõigused ja muuta kõiki faile, isegi operatsioonisüsteemi jaoks kõige olulisemaid.
See haavatavus tuvastati kui CVE-2018-14665 ja selles täheldati, mis võis sellise vea põhjustada.
Kahe koodirea, nimelt ridade "-logfile" ja "-modulepath", ebaõige käitlemine oleks sissetungijatel lubanud oma pahatahtliku koodi sisestada.
Seda viga skannitakse, kui X.Org Server töötab juurõigustega ja see on levinud paljudes distros.
Mõjutatud jaotused
osa X.Org Foundationi arendajad kavandavad juba uut lahendust X.Org versiooni 1.20.3 jaoks ja seega lahendage need kaks rida põhjustatud probleemid.
Jaotused meeldivad Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu ja OpenBSD on juba kinnitatud kui mõjutatud, kuigi see mõjutab ka teisi väiksemaid projekte.
Paketis olevad turvavärskendused on mõeldud X.Org Serveri haavatavuse parandamiseks, mis tuleks juurutada mõne tunni või päeva jooksul.
OpenBSD # 0päev Xorg LPE CVE-2018-14665 kaudu saab käivitada SSH kaugseansilt, ei pea olema kohalikus konsoolis. Ründaja võib mõjutatud süsteeme sõna otseses mõttes üle võtta kuni kolme käsklusega. ära kasutada https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- häkker fantastiline (@hackerfantastic) Oktoober 25, 2018
Lisaks Linux Mintis ja Ubuntus on parandus juba välja antud ja kinnitatud, peate lihtsalt süsteemi värskendamaKuigi teised distributsioonid ei tea veel, kas nad kavatsevad plaastri välja anda või oodata X.Org-i arendusrühma välja antud plaati.
"Ründaja saab mõjutatud süsteemid sõna otseses mõttes üle võtta kuni kolme käsklusega," ütles Hickey Twitteris. "Kasutamiseks on palju muid võimalusi, näiteks crontab. Naljakas, kui tühine see on.
See näitab, et Linux ja BSD ei ole täiesti turvalised süsteemid, kuid need on Windowsi süsteemidega võrreldes kindlad ja turvalised alternatiivid.
Lõpuks Seetõttu demonstreerivad sellised probleemid nagu see X.org-is ja teised, mis on ammu teatavaks tehtud, veel kord selliste alternatiivide nagu Wayland aktiivse väljatöötamise olulisust.
Kuna X.org on üsna vana protokoll ja see tuleb nüüd välja vahetada, kuigi kahjuks isegi kui meil on alternatiive nagu Wayland või Mir, pole need piisavalt tugevad, et pakkuda kõigile kasutatavust.
Need alternatiivid on juba mõnes Linuxi jaotuses ja neid on testitud, ehkki mõnes pole see toiminud ootuspäraselt (näiteks Ubuntu ja Waylandi puhul). Nendel X.org-i alternatiividel on veel pikk tee minna, enne kui mõni neist saab Linuxi standardiks.