Beberapa hari yang lalu Kesalahan yang dijumpai dengan Pelayan X.Org telah diterbitkan, yang membahayakan keselamatan sistem Linux dan BSD.
Kakitangan dari ZDNet adalah orang yang membuat amaran pelanggaran keselamatan baru dalam X.Org yang membolehkan penyerang mendapat akses terhad ke sistem.
Mengenai kesalahan yang dijumpai
Kesalahan yang dijumpai terdapat di Pelayan X.Org ini memungkinkan penyerang mendapatkan akses terhad ke sistem yang dapat melalui terminal secara lokal atau dalam sesi SSH dari jarak jauh, sehingga berjaya mengubah izin dan mencapai mod Root.
Kerentanan dijumpai Itu bukan dalam kategori kegagalan jenis "berbahaya" Dan juga bukan masalah yang boleh membimbangkan komputer dengan keselamatan tinggi yang dirancang dengan baik.
Tetapi cacat kecil ini, digunakan dengan baik oleh penyerang yang mempunyai pengetahuan yang cukup, dapat dengan cepat mengubah sesuatu yang tidak perlu dikhawatirkan pencerobohan yang mengerikan, kata Catalin Cimpanu.
Ia tidak dapat digunakan untuk menembus komputer yang aman, tetapi masih berguna untuk penyerang kerana dapat dengan cepat mengubah pencerobohan sederhana menjadi piruet yang salah.
Walaupun kerentanan tidak dapat diabaikan oleh komuniti Linux dan infosec, yang setelah adanya kekurangan keamanan ini diumumkan pada hari Khamis lalu, mulai mengerjakannya.
Kegagalan itu sudah dapat dikesan bertahun-tahun yang lalu
Seorang perunding keselamatan yang didengar oleh ZDNet, Narendra Shinde, memberi amaran bahawa Kekurangan ini diperhatikan dalam laporan Mei 2016 mereka dan bahawa paket X.Org Server mengandungi kelemahan ini yang dapat memberikan hak root kepada penyerang dan dapat mengubah fail apa pun, bahkan yang paling penting untuk sistem operasi.
Kerentanan ini dikenal pasti sebagai CVE-2018-14665 dan di dalamnya diperhatikan apa yang boleh menyebabkan kesalahan tersebut.
Pengendalian dua baris kod yang salah, iaitu garis "-logfile" dan "-modulepath", akan membolehkan penyerang memasukkan kod jahat mereka.
Bug ini diimbas ketika X.Org Server dijalankan dengan hak root dan ini biasa berlaku di banyak distro.
Pengagihan yang terjejas
The Pembangun Yayasan X.Org sudah merancang penyelesaian baru untuk versi X.Org 1.20.3 dan dengan demikian menyelesaikan masalah-masalah yang disebabkan oleh dua baris ini.
Pembahagian seperti Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, dan OpenBSD telah disahkan terjejas, walaupun projek lain yang lebih kecil juga terjejas.
Kemas kini keselamatan yang terdapat di dalam pakej ini bertujuan untuk memperbaiki kerentanan Pelayan X.Org yang seharusnya digunakan dalam beberapa jam atau hari berikutnya.
OpenBSD #0 hari Xorg LPE melalui CVE-2018-14665 dapat dicetuskan dari sesi SSH jarak jauh, tidak perlu berada di konsol tempatan. Penyerang secara harfiah dapat mengambil alih sistem yang terkena dampak dengan 3 perintah atau kurang. mengeksploitasi https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- Hacker Fantastic (@hackerfantastic) Oktober 25, 2018
Tambahan pula, di Linux Mint dan Ubuntu, perbaikan telah dikeluarkan dan disahkan, anda hanya perlu mengemas kini sistemWalaupun sebaran lain masih belum diketahui sama ada mereka mahu melepaskan patch atau menunggu yang dikeluarkan oleh kumpulan pengembangan X.Org.
"Penyerang secara harfiah dapat mengambil alih sistem yang terkena dengan 3 perintah atau kurang," kata Hickey di Twitter. "Ada banyak cara lain untuk mengeksploitasi, misalnya crontab. Lucunya betapa remehnya.
Ini menunjukkan bahawa Linux dan BSD bukanlah sistem yang benar-benar selamat, namun merupakan alternatif yang kukuh dan selamat berbanding dengan sistem Windows.
Akhirnya Itulah sebabnya isu seperti ini di X.org dan yang lain yang telah diketahui sejak dulu menunjukkan sekali lagi pentingnya pembangunan alternatif yang aktif seperti Wayland.
Oleh kerana X.org adalah protokol yang cukup lama dan ia perlu diganti sekarang, walaupun sayangnya walaupun kita mempunyai alternatif seperti Wayland atau Mir, ini tidak cukup kukuh untuk memberikan kegunaan kepada semua.
Alternatif ini sudah ada di beberapa distribusi Linux dan telah diuji, walaupun pada beberapa alternatif tidak berhasil seperti yang diharapkan, (seperti halnya Ubuntu dengan Wayland). Alternatif ini untuk X.org masih ada jalan panjang sebelum semua ini dapat menjadi standard dalam Linux.