`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Большинство систем Linux и BSD взламываются на счёт «три»

0 
 

Большинство систем Linux и BSD взламываются на счёт «три»

В почти всех версиях Linux и BSD — тех, в которых используется популярный пакет X.Org — обнаружена уязвимость, которая позволяет атакующему с ограниченным доступом (через терминал или сессию SSH) повысить свои привилегии и получить корневой доступ к системе.

Концептуальный код эксплойта вчера опубликовал Мэттью Хики (Matthew Hickey), один из учредителей и директор британской фирмы кибербезопасности Hacker House. «Атакующий может захватывать системы буквально тремя командами ... это тривиально до комичности», — написал он в Twitter.

Сообщается, что этот эксплойт нельзя использовать для проникновения в защищённые компьютеры, тем не менее, хакеры с его помощью могут быстро превращать простые вторжения в серьёзные инциденты.

X.Org Server это ключевая графическая и оконная технология, служащая базой для более известных десктопных оболочек KDE и GNOME. Она присутствует во всех ведущих дистрибутивах Linux и BSD, предлагающих пользователям оконный интерфейс, как то Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu и OpenBSD, и во множестве менее значительных проектов.

Согласно информации эксперта безопасности Нарендры Шинде (Narendra Shinde), эта уязвимость с кодовым наименованием CVE-2018-14665, появилась в пакете X.Org Server в мае 2016 года. Она вызвана неправильной обработкой двух опций командной строки, а именно -logfile и -modulepath. Это позволяло злоумышленникам внедрять и запускать собственный код. Дефект представлял опасность только если X.Org Server был настроен на работу с root-привилегиями, что является конфигурацией по умолчанию у большинства дистрибутивов.

Разработчики X.Org Foundation уже выпустили обновление, X.Org Server 1.20.3, которое устраняет проблему. В нём поддержка этих двух аргументов командной строки отключается если пакет X.Org Server работает с root-привилегиями.

Апдейты безопасности, содержащие X.Org Server с этим патчем, будут разосланы в ближайшие часы и дни.

0 
 

Напечатать Отправить другу

Читайте также

Фраза:
"Дефект представлял опасность только если X.Org Server был настроен на работу с root-привилегиями, что является конфигурацией по умолчанию у большинства дистрибутивов."
Шедевральна и выдает полное профанство автора в теме заметки.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT