Disa ditë më parë u botua një gabim i gjetur me X.Org Server, duke vënë në rrezik sigurinë e sistemeve Linux dhe BSD.
Stafi i ZDNet ishte ai që bëri paralajmërimin për një shkelje të re të sigurisë në X.Org që lejoi një sulmues të fitonte qasje të kufizuar në sistem.
Për gabimin e gjetur
Faji i gjetur është në serverin X.Org Lejoi pushtuesin të ketë qasje të kufizuar në sistem që mund të jetë përmes terminalit lokalisht ose në një sesion të SSH në distancë, duke arritur kështu të ndryshojë lejet dhe të arrijë modalitetin Root.
Dobësia e gjetur Nuk është në kategorinë e dështimeve të tipit "të rrezikshëm" Dhe gjithashtu nuk është ndonjë problem që mund të shqetësojë kompjuterat e planifikuar mirë, me siguri të lartë.
Por kjo e metë e vogël e përdorur mirë nga një sulmues që ka njohuri të mjaftueshme mund të transformojë shpejt diçka që nuk ka shqetësim për një pushtim të tmerrshëm, thotë Catalin Cimpanu.
Nuk mund të përdoret për të depërtuar në kompjuterë të sigurt, por është akoma i dobishëm për sulmuesit sepse mund të shndërrojë shpejt ndërhyrjet e thjeshta në pirueta të gabuara.
Ndërsa cenueshmëria nuk mund të injorohej nga komunitetet Linux dhe infosec, të cilat pasi ekzistenca e tij e kësaj të mete sigurie u bë publike të Enjten e kaluar, filluan të punojnë për rregullimin.
Dështimi ishte zbuluar tashmë vite më parë
Një konsulent sigurie i dëgjuar nga ZDNet, Narendra Shinde, paralajmëroi që Kjo e metë u theksua në raportin e tyre të majit 2016 dhe se paketa X.Org Server përmban këtë dobësi e cila mund t'u japë sulmuesve privilegje rrënjësore dhe mund të ndryshojë çdo skedar, madje edhe atë më të rëndësishëm për sistemin operativ.
Kjo dobësi u identifikua si CVE-2018-14665 dhe u vu re se çfarë mund të kishte shkaktuar një gabim të tillë.
Trajtimi i pasaktë i dy rreshtave të kodit, duke qenë linjat "-logfile" dhe "-modulepath", do t'i lejonte pushtuesit të fusnin kodin e tyre me qëllim të keq.
Ky defekt skanohet kur X.Org Server po ekzekutohet me privilegje rrënjë dhe kjo është e zakonshme në shumë distro.
Shpërndarjet e prekura
L Zhvilluesit e Fondacionit X. Org tashmë po planifikojnë një zgjidhje të re për versionin X.Org 1.20.3 dhe kështu zgjidh këto probleme të shkaktuara nga këto dy linja.
Shpërndarjet si Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu dhe OpenBSD tashmë janë konfirmuar si të prekur, megjithëse gjithashtu preken edhe projekte të tjera më të vogla.
Përditësimet e sigurisë që përmbahen në paketë synojnë të korrigjojnë dobësinë e serverit X.Org, e cila duhet të vendoset në orët ose ditët e ardhshme.
OpenBSD # 0ditë Xorg LPE përmes CVE-2018-14665 mund të shkaktohet nga një sesion i largët SSH, nuk ka nevojë të jetë në një tastierë lokale. Një sulmues fjalë për fjalë mund të marrë përsipër sisteme të ndikuara me 3 komanda ose më pak. shfrytëzojnë https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- Hacker Fantastic (@hackerfantastic) Tetor 25, 2018
Për më tepër, në Linux Mint dhe Ubuntu rregullimi tashmë është lëshuar dhe konfirmuar, ju vetëm duhet të azhurnoni sisteminNdërsa shpërndarjet e tjera ende nuk e dinë nëse ata synojnë të lëshojnë copë toke ose presin atë të lëshuar nga grupi i zhvillimit X.Org.
"Një sulmues fjalë për fjalë mund të marrë përsipër sistemet e prekura me 3 komanda ose më pak," tha Hickey në Twitter. “Ka shumë mënyra të tjera për të shfrytëzuar, për shembull crontab. Funnyshtë qesharake sa e parëndësishme është.
Kjo tregon se Linux dhe BSD nuk janë sisteme plotësisht të sigurta, megjithatë ato janë alternativa solide dhe të sigurta në krahasim me sistemet e Windows.
Më në fund Kjo është arsyeja pse çështje si kjo në X.org dhe të tjera që janë bërë të njohura kohë më parë demonstrojnë edhe një herë rëndësinë e zhvillimit aktiv të alternativave si Wayland.
Meqenëse X.org është një protokoll mjaft i vjetër dhe duhet të zëvendësohet tani, edhe pse për fat të keq edhe nëse kemi alternativa si Wayland ose Mir këto nuk janë aq solide sa të sigurojnë përdorshmëri për të gjithë.
Këto alternativa janë tashmë në disa shpërndarje Linux dhe janë testuar, megjithëse në disa nuk ka funksionuar siç pritej, (i tillë është rasti i Ubuntu me Wayland). Këto alternativa për X.org kanë ende një rrugë të gjatë për të bërë para se ndonjë nga këto të mund të bëhet një standard brenda Linux.