Een paar dagen geleden Er is een fout gevonden met de X.Org-server, waardoor de beveiliging van Linux- en BSD-systemen in gevaar komt.
Het personeel van ZDNet was degene die de waarschuwing maakte voor een nieuwe inbreuk op de beveiliging in de X.Org waardoor een aanvaller beperkte toegang tot het systeem kon krijgen.
Over de gevonden fout
De gevonden fout zit in de X.Org Server het stelde de indringer in staat om beperkte toegang te krijgen tot het systeem, dat zou kunnen zijn via een terminal lokaal of in een SSH-sessie op afstand, waardoor het lukte om de rechten te wijzigen en de root-modus te bereiken.
De gevonden kwetsbaarheid Het valt niet in de categorie van "gevaarlijke" storingen En het is ook geen probleem dat goed geplande, goed beveiligde computers zorgen kan maken.
Maar deze kleine fout, goed gebruikt door een aanvaller die voldoende kennis heeft, kan snel iets transformeren dat geen zorgen hoeft te maken over een vreselijke invasie, zegt Catalin Cimpanu.
Het kan niet worden gebruikt om beveiligde computers binnen te dringen, maar het is nog steeds nuttig voor aanvallers omdat het eenvoudige inbraken snel in foutieve pirouettes kan veranderen.
Hoewel de kwetsbaarheid niet kon worden genegeerd door de Linux- en infosec-gemeenschappen, begonnen ze, toen het bestaan van deze beveiligingsfout afgelopen donderdag openbaar werd gemaakt, aan de oplossing te werken.
De storing was al jaren geleden ontdekt
Een beveiligingsadviseur die door ZDNet werd gehoord, Narendra Shinde, waarschuwde dat Op deze fout werd gewezen in hun rapport van mei 2016 en dat het X.Org Server-pakket deze kwetsbaarheid bevat die aanvallers root-rechten zou kunnen geven en elk bestand kan wijzigen, zelfs de meest cruciale voor het besturingssysteem.
Deze kwetsbaarheid werd geïdentificeerd als CVE-2018-14665 en daarin werd geobserveerd wat zo'n fout had kunnen veroorzaken.
Onjuiste behandeling van twee regels code, zijnde de regels "-logfile" en "-modulepath", zou indringers in staat hebben gesteld hun kwaadaardige code in te voeren.
Deze bug wordt gescand wanneer X.Org Server draait met rootprivileges en dit is gebruikelijk in veel distributies.
Betrokken distributies
De De ontwikkelaars van X.Org Foundation zijn al bezig met het plannen van een nieuwe oplossing voor de X.Org versie 1.20.3 en lost zo deze problemen op die door deze twee regels worden veroorzaakt.
Uitkeringen zoals Van Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu en OpenBSD is al bevestigd dat ze getroffen zijn, hoewel ook andere kleinere projecten worden getroffen.
De beveiligingsupdates in het pakket zijn bedoeld om de kwetsbaarheid van de X.Org Server te verhelpen, die in de komende uren of dagen zou moeten worden geïmplementeerd.
OpenBSD # 0day Xorg LPE via CVE-2018-14665 kan worden geactiveerd vanuit een externe SSH-sessie, hoeft niet op een lokale console te staan. Een aanvaller kan getroffen systemen letterlijk overnemen met 3 opdrachten of minder. exploiteren https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- Hacker Fantastic (@hackerfantastic) 25 oktober 2018
Bovendien in Linux Mint en Ubuntu is de oplossing al vrijgegeven en bevestigd, je hoeft alleen het systeem bij te werkenTerwijl de andere distributies nog steeds niet weten of ze van plan zijn de patch uit te brengen of wachten op degene die is vrijgegeven door de X.Org-ontwikkelingsgroep.
"Een aanvaller kan de getroffen systemen letterlijk met drie of minder commando's overnemen", zei Hickey op Twitter. “Er zijn veel andere manieren om te exploiteren, bijvoorbeeld crontab. Het is grappig hoe triviaal het is.
Dit toont aan dat Linux en BSD geen volledig veilige systemen zijn, maar dat het solide en veilige alternatieven zijn in vergelijking met Windows-systemen.
Eindelijk Dat is de reden waarom kwesties zoals deze op X.org en andere die lang geleden bekend zijn gemaakt, nogmaals het belang aantonen van actieve ontwikkeling van alternatieven zoals Wayland.
Omdat X.org een vrij oud protocol is en het nu moet worden vervangen, hoewel helaas, zelfs als we alternatieven hebben zoals Wayland of Mir, deze niet solide genoeg zijn om iedereen bruikbaar te maken.
Deze alternatieven zijn al in sommige Linux-distributies en zijn getest, hoewel het in sommige niet werkte zoals verwacht (zoals het geval is bij Ubuntu met Wayland). Deze alternatieven voor X.org hebben nog een lange weg te gaan voordat ze een standaard kunnen worden binnen Linux.