Новый недостаток безопасности затрагивает системы Linux и BSD

Несколько дней тому назад Была опубликована ошибка, обнаруженная на сервере X.Org, что поставило под угрозу безопасность систем Linux и BSD.

Сотрудники ZDNet был тем, кто предупредил о новом нарушении безопасности в X.Org, что позволило злоумышленнику получить ограниченный доступ к системе.

О найденной неисправности

Обнаруженная ошибка находится на сервере X.Org. он позволял злоумышленнику получить ограниченный доступ к системе, который мог осуществляться через терминал локально или удаленно в сеансе SSH, тем самым управляя изменением разрешений и переходя в режим Root.

Обнаруженная уязвимость Не относится к категории отказов «опасного» типа. И это также не сбой, который может беспокоить хорошо спланированные компьютеры с высокой степенью защиты.

Но этот небольшой недостаток, который хорошо использует злоумышленник, обладающий достаточными знаниями, может быстро преобразовать то, что не беспокоит ужасного вторжения.- говорит Каталин Чимпану.

Его нельзя использовать для проникновения в защищенные компьютеры, но он по-прежнему полезен для злоумышленников, поскольку может быстро превратить простое вторжение в ошибочные пируэты.

Хотя уязвимость не могла игнорироваться сообществами Linux и информационной безопасности, которые, как только в прошлый четверг стало известно о существовании этой уязвимости в системе безопасности, начали работу над исправлением.

Неисправность уже была обнаружена много лет назад

Консультант по безопасности, которого слышал ZDNet, Нарендра Шинде, предупредила, что На эту уязвимость указывалось в их отчете за май 2016 г., и что пакет X.Org Server содержит эту уязвимость. который может дать злоумышленнику привилегии root и изменить любой файл, даже самый важный для операционной системы.

Эта уязвимость был идентифицирован как CVE-2018-14665 и было замечено, что могло вызвать такую ​​ошибку.

Неправильная обработка двух строк кода, являющихся строками «-logfile» и «-modulepath», позволила бы захватчикам вставить свой вредоносный код.

Эта ошибка сканируется, когда сервер X.Org работает с привилегиями root, и это часто встречается во многих дистрибутивах.

Затронутые дистрибутивы

Разработчики X.Org Foundation уже планируют новое решение для X.Org версии 1.20.3 и, таким образом, решить эти проблемы, вызванные этими двумя строками.

Распределения вроде Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu и OpenBSD уже подтверждены как затронутые, хотя затронуты и другие более мелкие проекты.

Обновления безопасности, содержащиеся в пакете, предназначены для исправления уязвимости сервера X.Org, которая должна быть развернута в ближайшие несколько часов или дней.

OpenBSD #0day Xorg LPE через CVE-2018-14665 может запускаться из удаленного сеанса SSH, не обязательно на локальной консоли. Злоумышленник может буквально захватить пораженную систему с помощью 3 или менее команд. эксплуатировать https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M

- Фантастический хакер (@hackerfantastic) 25 октября 2018

Кроме того, в Linux Mint и Ubuntu исправление уже выпущено и подтверждено, вам просто нужно обновить системуВ то время как другие дистрибутивы еще не знают, намереваются ли они выпустить патч или ждать патча, выпущенного группой разработчиков X.Org.

«Злоумышленник может буквально захватить пораженные системы с помощью 3 или менее команд», - сказал Хики в Twitter. «Есть много других способов использования, например crontab. Забавно, насколько это тривиально.

Это показывает, что Linux и BSD не являются полностью безопасными системами, однако они являются надежными и безопасными альтернативами по сравнению с системами Windows.

В конце концов Вот почему проблемы, подобные этой на X.org, и другие, о которых стало известно давно, еще раз демонстрируют важность активной разработки альтернатив, таких как Wayland.

Поскольку X.org - довольно старый протокол, и его нужно заменить сейчас, хотя, к сожалению, даже если у нас есть альтернативы, такие как Wayland или Mir, они недостаточно надежны, чтобы обеспечить удобство использования для всех.

Эти альтернативы уже есть в некоторых дистрибутивах Linux и были протестированы, хотя в некоторых это не сработало, как ожидалось (например, Ubuntu с Wayland). Эти альтернативы X.org еще предстоит пройти долгий путь, прежде чем любая из них станет стандартом в Linux.