कुछ दिनों पहले X.Org सर्वर के साथ पाई गई एक त्रुटि प्रकाशित हुई, जिससे लिनक्स और बीएसडी सिस्टम की सुरक्षा खतरे में पड़ गई।
के कर्मचारी ZDNet वह था जिसने एक नए सुरक्षा उल्लंघन की चेतावनी दी थी X.Org में, जिसने एक हमलावर को सिस्टम तक सीमित पहुंच प्राप्त करने की अनुमति दी थी।
गलती के बारे में मिला
पाया गया दोष X.Org सर्वर में है इसने हमलावर को स्थानीय रूप से या SSH सत्र में रिमोट के माध्यम से सिस्टम तक सीमित पहुंच प्राप्त करने की अनुमति दी, इस प्रकार अनुमतियों को बदलने और रूट मोड प्राप्त करने का प्रबंधन।
भेद्यता पाई यह "खतरनाक" प्रकार की विफलताओं की श्रेणी में नहीं है और यह भी एक गड़बड़ नहीं है जो अच्छी तरह से नियोजित, उच्च सुरक्षा वाले कंप्यूटरों की चिंता कर सकता है।
लेकिन यह छोटा दोष, जो एक हमलावर द्वारा अच्छी तरह से उपयोग किया जाता है, जिसके पास पर्याप्त ज्ञान है, वह जल्दी से कुछ बदल सकता है जिसमें एक भयानक आक्रमण की चिंता नहीं है, कैटलिन Cimpanu कहते हैं।
इसका उपयोग सुरक्षित कंप्यूटरों में घुसने के लिए नहीं किया जा सकता है, लेकिन यह हमलावरों के लिए अभी भी उपयोगी है क्योंकि यह सरल घुसपैठ को गलत तरीके से चलने वाले पाइरेट्स में बदल सकता है।
हालांकि लिनक्स और इन्फोसिस समुदायों द्वारा भेद्यता को नजरअंदाज नहीं किया जा सकता है, जो कि एक बार इस सुरक्षा दोष के अस्तित्व को पिछले गुरुवार को सार्वजनिक कर दिया गया था, उन्होंने फिक्स पर काम करना शुरू कर दिया।
वर्षों पहले विफलता का पता चला था
एक सुरक्षा सलाहकार, ZDNet द्वारा सुनी गई, नरेंद्र शिंदे ने चेतावनी दी कि यह दोष उनकी मई 2016 की रिपोर्ट में बताया गया था और X.Org सर्वर पैकेज में यह भेद्यता है जो हमलावरों को रूट विशेषाधिकार दे सकता है और किसी भी फाइल को बदल सकता है, यहां तक कि ऑपरेटिंग सिस्टम के लिए सबसे महत्वपूर्ण भी।
यह भेद्यता की पहचान CVE-2018-14665 के रूप में की गई थी और यह देखा गया कि ऐसी त्रुटि के कारण क्या हो सकता है।
कोड की दो लाइनों का गलत तरीके से हैंडल करना, "-logfile" और "-modulepath" होने के कारण, आक्रमणकारियों को अपने दुर्भावनापूर्ण कोड को डालने की अनुमति होगी।
यह बग तब स्कैन किया जाता है जब X.Org सर्वर रूट विशेषाधिकार के साथ चल रहा होता है और यह कई डिस्ट्रो पर आम है।
प्रभावित वितरण
L X.Org Foundation के डेवलपर्स पहले से ही एक नए समाधान की योजना बना रहे हैं X.Org संस्करण 1.20.3 के लिए और इस प्रकार इन दो लाइनों के कारण होने वाली समस्याओं को हल करते हैं।
जैसे वितरण Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, और OpenBSD पहले ही प्रभावित होने की पुष्टि कर चुके हैं, हालांकि अन्य छोटी परियोजनाएं भी प्रभावित होती हैं।
पैकेज में निहित सुरक्षा अद्यतन X.Org सर्वर भेद्यता को ठीक करने के उद्देश्य से हैं जिन्हें अगले कुछ घंटों या दिनों में तैनात किया जाना चाहिए।
OpenBSD # 0day CVE-2018-14665 के माध्यम से Xorg LPE को दूरस्थ SSH सत्र से ट्रिगर किया जा सकता है, इसे स्थानीय कंसोल पर होने की आवश्यकता नहीं है। एक हमलावर शाब्दिक रूप से 3 कमांड या उससे कम वाले प्रभावित सिस्टम को संभाल सकता है। शोषण, अनुचित लाभ उठाना https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- हैकर फैंटास्टिक (@hackerfantastic) अक्टूबर 25
इसके अलावा, लिनक्स मिंट और उबंटू में फिक्स पहले ही रिलीज़ हो चुका है और कन्फर्म हो चुका है, बस आपको सिस्टम अपडेट करना हैजबकि अन्य वितरण अभी तक नहीं जानते हैं कि क्या वे पैच जारी करने का इरादा रखते हैं या एक्स.ओआरजी विकास समूह द्वारा जारी किए गए इंतजार कर रहे हैं।
हिक्की ने ट्विटर पर कहा, "एक हमलावर सचमुच 3 कमांड या उससे कम वाले प्रभावित सिस्टम को संभाल सकता है।" “उदाहरण के लिए, क्रॉस्टैब के शोषण के कई अन्य तरीके हैं। यह हास्यास्पद है कि यह कितना तुच्छ है।
यह दिखाता है कि लिनक्स और बीएसडी पूरी तरह से सुरक्षित सिस्टम नहीं हैं, हालांकि वे विंडोज सिस्टम की तुलना में ठोस और सुरक्षित विकल्प हैं।
अंत में यही कारण है कि X.org पर इस तरह के मुद्दों और अन्य जो लंबे समय से पहले ज्ञात किए गए हैं, एक बार फिर वायलैंड के विकल्प के सक्रिय विकास के महत्व को प्रदर्शित करते हैं।
चूंकि X.org एक काफी पुराना प्रोटोकॉल है और इसे अब प्रतिस्थापित करने की आवश्यकता है, हालांकि दुर्भाग्य से भले ही हमारे पास वायलैंड या मीर जैसे विकल्प हों लेकिन ये सभी के लिए प्रयोज्य प्रदान करने के लिए पर्याप्त ठोस नहीं हैं।
ये विकल्प पहले से ही कुछ लिनक्स वितरण में हैं और परीक्षण किए गए हैं, हालांकि कुछ में यह अपेक्षित रूप से काम नहीं किया है, (जैसे कि वेन्डल के साथ उबंटू का मामला है)। X.org के इन विकल्पों के पास अभी भी एक लंबा रास्ता तय करना है क्योंकि इनमें से कोई भी लिनक्स में एक मानक बन सकता है।