Ilang araw na nakalipas isang error na nahanap sa X.Org Server ay nai-publish, na inilalagay ang panganib ng seguridad ng mga Linux at BSD system na nasa peligro.
Ang mga tauhan ng Ang ZDNet ang gumawa ng babala ng isang bagong paglabag sa seguridad sa X.Org na pinapayagan ang isang magsasalakay na makakuha ng limitadong pag-access sa system.
Tungkol sa nahanap na kasalanan
Ang nahanap na pagkakamali ay nasa X.Org Server Pinayagan nito ang mananakop na makakuha ng limitadong pag-access sa system na maaaring sa pamamagitan ng terminal nang lokal o sa isang sesyon ng SSH mula sa malayo, kaya pinamamahalaan na baguhin ang mga pahintulot at makamit ang Root mode.
Natagpuan ang kahinaan Wala ito sa kategorya ng mga "mapanganib" na pagkabigo sa uri At hindi rin ito isang glitch na maaaring mag-alala ng maayos na nakaplanong, mga computer na may mataas na seguridad.
Ngunit ang maliit na bahid na ito na mahusay na ginamit ng isang umaatake na may sapat na kaalaman ay maaaring mabilis na baguhin ang isang bagay na walang nag-aalala isang kahila-hilakbot na pagsalakay, sabi ni Catalin Cimpanu.
Hindi ito maaaring magamit upang tumagos sa mga ligtas na computer, ngunit kapaki-pakinabang pa rin ito para sa mga umaatake sapagkat mabilis nitong mababago ang mga simpleng pagsingit sa mga maling pirouette.
Habang ang kahinaan ay hindi maaaring balewalain ng mga pamayanan ng Linux at infosec, na sa sandaling ang pagkakaroon ng kapintasan sa seguridad na ito ay isinapubliko noong Huwebes, nagsimulang magtrabaho nang maayos.
Ang pagkabigo ay napansin na taon na ang nakalilipas
Ang isang consultant sa seguridad na narinig ng ZDNet, Narendra Shinde, ay nagbabala doon Ang kapintasan na ito ay itinuro sa kanilang ulat noong Mayo 2016 at ang pakete ng X.Org Server ay naglalaman ng kahinaan na ito na maaaring magbigay sa mga mananalakay ng mga pribilehiyo ng ugat at maaaring baguhin ang anumang file, kahit na ang pinaka-mahalaga para sa operating system.
Ang kahinaan na ito ay nakilala bilang CVE-2018-14665 at dito napansin kung ano ang maaaring maging sanhi ng ganitong pagkakamali.
Maling paghawak ng dalawang linya ng code, na ang mga linya na "-logfile" at "-modulepath", ay pinapayagan ang mga mananakop na ipasok ang kanilang nakakahamak na code.
Ang bug na ito ay na-scan kapag ang X.Org Server ay tumatakbo na may mga pribilehiyo ng ugat at karaniwan ito sa maraming mga distrito.
Mga apektadong pamamahagi
Los Nagpaplano na ang mga developer ng X.Org Foundation ng isang bagong solusyon para sa bersyon ng X.Org 1.20.3 at sa gayon ay malulutas ang mga problemang ito sanhi ng dalawang linya na ito.
Mga pamamahagi tulad ng Ang Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, at OpenBSD ay nakumpirma na naapektuhan, kahit na ang iba pang mas maliit na mga proyekto ay apektado din.
Ang mga pag-update sa seguridad na nilalaman sa pakete ay inilaan upang iwasto ang kahinaan ng X.Org Server na dapat na ipakalat sa susunod na ilang oras o araw.
OpenBSD # 0day Ang Xorg LPE sa pamamagitan ng CVE-2018-14665 ay maaaring ma-trigger mula sa isang remote na sesyon ng SSH, hindi kailangang maging sa isang lokal na console. Ang isang mang-atake ay maaaring literal na sakupin ang mga apektadong system na may 3 utos o mas kaunti. pagsamantala https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
- Hacker Fantastic (@hackerfantastic) Oktubre 25, 2018
Bukod dito, sa Linux Mint at Ubuntu ang pag-aayos ay nailabas na at nakumpirma, kailangan mo lamang i-update ang systemHabang ang iba pang mga pamamahagi ay hindi pa alam kung balak nilang palabasin ang patch o maghintay para sa isang pinakawalan ng X.Org development group.
"Ang isang magsasalakay ay maaaring literal na sakupin ang mga apektadong system na may 3 utos o mas kaunti," sabi ni Hickey sa Twitter. "Maraming iba pang mga paraan upang pagsamantalahan, halimbawa crontab. Nakakatuwa kung gaano ito walang halaga.
Ipinapakita nito na ang Linux at BSD ay hindi ganap na ligtas na mga system, subalit ang mga ito ay solid at ligtas na mga kahalili kumpara sa mga system ng Windows.
Sa wakas Iyon ang dahilan kung bakit ang mga isyu tulad ng isang ito sa X.org at iba pa na nalaman noong una ay ipinakita muli ang kahalagahan ng aktibong pagbuo ng mga kahalili tulad ng Wayland.
Dahil ang X.org ay isang medyo luma na protocol at kailangan itong mapalitan ngayon, kahit na sa kasamaang palad kahit na mayroon kaming mga kahalili tulad ng Wayland o Mir hindi sapat ang mga ito upang makapagbigay ng kakayahang magamit sa lahat.
Ang mga kahaliling ito ay nasa ilang mga pamamahagi ng Linux at nasubukan, kahit na sa ilan ay hindi ito gumana tulad ng inaasahan, (tulad ng kaso ng Ubuntu sa Wayland). Ang mga kahaliling ito sa X.org ay may malayo pang paraan bago ang alinman sa mga ito ay maaaring maging isang pamantayan sa loob ng Linux.