કેટલાક દિવસો પહેલા લિનક્સ અને બીએસડી સિસ્ટમોની સુરક્ષાને જોખમમાં મુકતા, X.Org સર્વર સાથેની એક ભૂલ પ્રકાશિત થઈ હતી.
નો સ્ટાફ ઝેડડીનેટ તે જ હતા જેમણે નવી સુરક્ષા ભંગની ચેતવણી આપી હતી X.Org માં કે જે હુમલાખોરને સિસ્ટમ સુધી મર્યાદિત gainક્સેસ મેળવવાની મંજૂરી આપે છે.
મળી દોષ વિશે
જે ફોલ્ટ મળી છે તે X.Ogg સર્વરમાં છે આક્રમણકર્તાને તે સિસ્ટમની મર્યાદિત getક્સેસ મળવાની મંજૂરી મળી જે સ્થાનિક રૂપે અથવા એસએસએચ સત્રમાં દૂરસ્થ રૂપે હોઇ શકે, આ રીતે મંજૂરીઓ બદલવામાં અને રુટ મોડને પ્રાપ્ત કરવામાં મેનેજ કરો.
નબળાઈ મળી તે "ખતરનાક" પ્રકારની નિષ્ફળતાની કેટેગરીમાં નથી ન તો તે કોઈ એવી ભૂલ છે જે સારી રીતે આયોજિત, ઉચ્ચ-સુરક્ષા કમ્પ્યુટરને ચિંતા કરી શકે છે.
પરંતુ કોઈ હુમલો કરનાર દ્વારા પૂરતો જ્ knowledgeાન ધરાવતો આ નાનો દોષ ઝડપથી એવી કોઈ વસ્તુનું પરિવર્તન કરી શકે છે કે જેમાં ભયંકર આક્રમણની ચિંતા ન હોય., કેટાલિન સિમ્પાનુ કહે છે.
સલામત કમ્પ્યુટરમાં પ્રવેશ કરવા માટે તેનો ઉપયોગ કરી શકાતો નથી, પરંતુ તે હજી પણ હુમલાખોરો માટે ઉપયોગી છે કારણ કે તે સરળ ઘૂસણખોરીને ઝડપથી ભૂલભરેલા પિરોએટ્સમાં ફેરવી શકે છે.
જ્યારે લિનક્સ અને ઇન્ફોસેક સમુદાયો દ્વારા નબળાઈને અવગણી શકાય નહીં, જે ગયા વર્ષે ગુરુવારે આ સલામતીની ખામીનું જાહેર થયું હતું, ત્યારે ફિક્સ પર કામ કરવાનું શરૂ કર્યું.
નિષ્ફળતા વર્ષો પહેલા મળી આવી હતી
ઝેડડીનેટ, નરેન્દ્ર શિંદે દ્વારા સાંભળવામાં આવેલા એક સુરક્ષા સલાહકારએ તેને ચેતવણી આપી છે આ ખામી તેમના મે 2016 ના અહેવાલમાં દર્શાવવામાં આવી હતી અને તે X.Org સર્વર પેકેજમાં આ નબળાઈ છે જે હુમલાખોરોને રૂટ વિશેષાધિકારો આપી શકે છે અને કોઈપણ ફાઇલને બદલી શકે છે, theપરેટિંગ સિસ્ટમ માટે ખૂબ નિર્ણાયક ફાઇલો પણ.
આ નબળાઈ સીવીઇ-2018-14665 તરીકે ઓળખાઈ હતી અને તેમાં તે જોવામાં આવ્યું હતું કે આવી ભૂલ શું થઈ શકે છે.
કોડની બે લાઇનોનું ખોટું સંચાલન, "-લોગફાયલ" અને "-મોડ્યુલપથ" લીટીઓ હોવાને કારણે આક્રમણકારોને તેમનો દૂષિત કોડ દાખલ કરવાની મંજૂરી આપી શકશે.
જ્યારે આ X.Org સર્વર રૂટ વિશેષાધિકારો સાથે ચાલે છે ત્યારે આ બગને સ્કેન કરવામાં આવે છે અને આ ઘણી ડિસ્ટ્રોસ પર સામાન્ય છે.
અસરગ્રસ્ત વિતરણો
આ X.Org ફાઉન્ડેશન વિકાસકર્તાઓ પહેલાથી જ નવા સોલ્યુશનની યોજના કરી રહ્યા છે X.Org આવૃત્તિ 1.20.3 માટે અને આ રીતે આ બે લીટીઓને લીધે આવી સમસ્યાઓ હલ કરો.
જેવા વિતરણો રેડ હેટ એન્ટરપ્રાઇઝ લિનક્સ, ફેડોરા, સેન્ટોસ, ડેબિયન, ઉબુન્ટુ અને ઓપનબીએસડી પહેલાથી જ અસરગ્રસ્ત તરીકે પુષ્ટિ થઈ છે, જોકે અન્ય નાના પ્રોજેક્ટ્સ પણ અસરગ્રસ્ત છે.
પેકેજમાં સમાવિષ્ટ સુરક્ષા અપડેટ્સનો હેતુ X.Org સર્વર નબળાઈને સુધારવા માટે છે જે આવતા કેટલાક કલાકો અથવા દિવસોમાં જમાવટ થવી જોઈએ.
ઓપનબીએસડી # 0 દિવસ સીવીઇ-2018-14665 દ્વારા Xorg એલપીઇ દૂરસ્થ એસએસએચ સત્રથી શરૂ થઈ શકે છે, તેને સ્થાનિક કન્સોલ પર રાખવાની જરૂર નથી. કોઈ હુમલાખોર અસરકારક સિસ્ટમોને શાબ્દિક રીતે 3 આદેશો અથવા ઓછાથી વધુની કબજોમાં લઈ શકે છે. શોષણ https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- હેકર ફેન્ટાસ્ટિક (@ હેકરફેન્ટાસ્ટિક) ઓક્ટોબર 25, 2018
બીજી તરફ, લિનક્સ મિન્ટ અને ઉબુન્ટુમાં ફિક્સ પહેલાથી જ પ્રકાશિત થઈ ગયું છે અને પુષ્ટિ થઈ ગઈ છે, તમારે ફક્ત સિસ્ટમ અપડેટ કરવાની રહેશેજ્યારે અન્ય વિતરણો હજી પણ જાણતા નથી કે તેઓ પેચને મુક્ત કરવાનો ઇરાદો ધરાવે છે કે એક્સ.ઓર્ગ વિકાસ જૂથ દ્વારા પ્રકાશિત થયેલ માટે રાહ જુઓ.
હિક્કીએ ટ્વિટર પર જણાવ્યું હતું કે, "કોઈ હુમલાખોર અસરકારક સિસ્ટમોને 3 આદેશો અથવા ઓછાથી શાબ્દિક રીતે કબજો કરી શકે છે." “શોષણ કરવાની ઘણી બીજી રીતો છે, ઉદાહરણ તરીકે ક્રોન્ટેબ. તે રમૂજી છે કે તે કેટલું તુચ્છ છે.
આ બતાવે છે કે લિનક્સ અને બીએસડી સંપૂર્ણ સલામત સિસ્ટમો નથી, જો કે તે વિન્ડોઝ સિસ્ટમ્સની તુલનામાં નક્કર અને સુરક્ષિત વિકલ્પો છે.
છેલ્લે તેથી જ X.org પર આ જેવા મુદ્દાઓ અને ઘણા લાંબા સમય પહેલા જાણીતા બનેલા અન્ય લોકો ફરી એકવાર વેલેન્ડ જેવા વિકલ્પોના સક્રિય વિકાસનું મહત્વ દર્શાવે છે.
X.org એ એકદમ જૂનો પ્રોટોકોલ હોવાને કારણે અને હવે તેને બદલવાની જરૂર છે, જો કે કમનસીબે આપણી પાસે વેયલેન્ડ અથવા મીર જેવા વિકલ્પો હોવા છતાં પણ તે બધાને ઉપયોગીતા પૂરા પાડવા પૂરતા નક્કર નથી.
આ વિકલ્પો કેટલાક લિનક્સ ડિસ્ટ્રિબ્યુશનમાં પહેલેથી જ છે અને તેનું પરીક્ષણ કરવામાં આવ્યું છે, જોકે કેટલાકમાં તે અપેક્ષા મુજબ કામ કરતું નથી, (જેમ કે વેલેન્ડ સાથે ઉબુન્ટુનો કેસ છે). લિનક્સમાં આમાંથી કોઈ પણ ધોરણ બની શકે તે પહેલાં X.org ના આ વિકલ્પો પાસે હજી ઘણી લાંબી મજલ બાકી છે.