Beberapa hari yang lalu kesalahan ditemukan dengan X.Org Server diterbitkan, menempatkan keamanan sistem Linux dan BSD dalam risiko.
Staf dari ZDNet adalah orang yang membuat peringatan tentang pelanggaran keamanan baru di X.Org yang memungkinkan penyerang mendapatkan akses terbatas ke sistem.
Tentang kesalahan yang ditemukan
Kesalahan yang ditemukan ada di X.Org Server Itu memungkinkan penyerbu untuk mendapatkan akses terbatas ke sistem yang dapat melalui terminal secara lokal atau dalam sesi SSH dari jarak jauh, sehingga mengelola untuk mengubah izin dan mencapai mode Root.
Kerentanan ditemukan Ini tidak termasuk dalam kategori kegagalan tipe "berbahaya" Dan juga bukan kesalahan yang dapat mengkhawatirkan komputer dengan keamanan tinggi yang terencana dengan baik.
Tetapi kelemahan kecil ini, digunakan dengan baik oleh penyerang yang memiliki cukup pengetahuan, dapat dengan cepat mengubah sesuatu yang tidak mengkhawatirkan invasi yang mengerikan, kata Catalin Cimpanu.
Itu tidak dapat digunakan untuk menembus komputer yang aman, tetapi masih berguna bagi penyerang karena dapat dengan cepat mengubah intrusi sederhana menjadi perputaran yang salah.
Meskipun kerentanan tidak dapat diabaikan oleh komunitas Linux dan infosec, yang setelah keberadaannya dari kelemahan keamanan ini diumumkan Kamis lalu, mulai bekerja untuk memperbaikinya.
Kegagalan sudah terdeteksi bertahun-tahun yang lalu
Seorang konsultan keamanan yang didengar oleh ZDNet, Narendra Shinde, memperingatkan hal itu Cacat ini ditunjukkan dalam laporan Mei 2016 mereka dan bahwa paket Server X.Org berisi kerentanan ini yang dapat memberikan hak akses root kepada penyerang dan dapat mengubah file apa pun, bahkan yang paling penting untuk sistem operasi.
Kerentanan ini diidentifikasi sebagai CVE-2018-14665 dan di dalamnya diamati apa yang bisa menyebabkan kesalahan seperti itu.
Penanganan yang salah dari dua baris kode, menjadi baris "-logfile" dan "-modulepath", akan memungkinkan penyerang untuk memasukkan kode berbahaya mereka.
Bug ini dipindai ketika X.Org Server berjalan dengan hak akses root dan ini biasa terjadi pada banyak distro.
Distribusi yang terpengaruh
Los Pengembang X.Org Foundation sudah merencanakan solusi baru untuk X.Org versi 1.20.3 dan dengan demikian memecahkan masalah yang disebabkan oleh dua baris ini.
Distribusi suka Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, dan OpenBSD telah dikonfirmasi sebagai terpengaruh, meskipun proyek kecil lainnya juga terpengaruh.
Pembaruan keamanan yang terdapat dalam paket dimaksudkan untuk memperbaiki kerentanan Server X.Org yang harus disebarkan dalam beberapa jam atau hari ke depan.
OpenBSD # 0hari Xorg LPE melalui CVE-2018-14665 dapat dipicu dari sesi SSH jarak jauh, tidak perlu di konsol lokal. Seorang penyerang benar-benar dapat mengambil alih sistem yang terkena dampak dengan 3 perintah atau kurang. mengeksploitasi https://t.co/3FqgJPeCvO ? pic.twitter.com/8hcbxwbj5m
- Hacker Fantastic (@hackerfantastic) Oktober 25, 2018
Selain itu, di Linux Mint dan Ubuntu perbaikan telah dirilis dan dikonfirmasi, Anda hanya perlu memperbarui sistemSedangkan distro yang lain masih belum mengetahui apakah mereka berniat untuk merilis patch tersebut atau menunggu dirilis oleh grup pengembangan X.Org.
"Seorang penyerang benar-benar dapat mengambil alih sistem yang terpengaruh dengan 3 perintah atau kurang," kata Hickey di Twitter. “Masih banyak cara lain untuk mengeksploitasi, misalnya crontab. Lucu sekali betapa sepele itu.
Ini menunjukkan bahwa Linux dan BSD bukanlah sistem yang sepenuhnya aman, namun mereka adalah alternatif yang solid dan aman dibandingkan dengan sistem Windows.
Akhirnya Itulah mengapa masalah seperti ini di X.org dan lainnya yang telah diketahui sejak lama menunjukkan sekali lagi pentingnya pengembangan aktif alternatif seperti Wayland.
Karena X.org adalah protokol yang cukup lama dan perlu diganti sekarang, meskipun sayangnya meskipun kita memiliki alternatif seperti Wayland atau Mir, ini tidak cukup solid untuk memberikan kegunaan bagi semua.
Alternatif ini sudah ada di beberapa distribusi Linux dan telah diuji, meskipun di beberapa distro tidak berfungsi seperti yang diharapkan, (seperti kasus Ubuntu dengan Wayland). Alternatif untuk X.org ini masih memiliki jalan panjang sebelum salah satu dari ini dapat menjadi standar dalam Linux.