`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Уязвимость повышения привилегий в Linux ждёт своего патча

18 февраля 2022 г., 17:15
0 
 

Nvidia показала 3 млрд долл. прибыли за квартал при выручке в 7,64 млрд долл.

Эксперты безопасности из Qualys обнаружил несколько уязвимостей в функции snap-confine системы Snap, используемой фирмой Canonical для создания и развёртывания пакетов программ.

Самая опасная из них, CVE-2021-44731, как сообщает в блоге Qualys её директор по исследованию уязвимостей и угроз Бхарат Джоги (Bharat Jogi), может быть использована для эскалации привилегий любого пользователя до уровня root.

Пакеты, называемые snap, и инструмент для их использования, snapd, работают в ряде дистрибутивов Linux и позволяют разработчикам вышестоящего программного обеспечения напрямую распространять свои приложения среди пользователей. Snap — это автономные приложения, работающие в песочнице с регулируемым доступом к хост-системе. Функция snap-confine используется snapd при формировании среды исполнения для приложений snap.

Сотрудники Qualys смогли разработать демонстрационный эксплойт CVE-2021-44731 и получить с его помощью полные привилегии суперпользователя в базовых конфигурациях Ubuntu.

От CVE-2021-44731 все ещё нет способов защиты, хотя Qualys Research Team оповестила Canonical об этой и ещё шести открытых уязвимостях ещё в октябре прошлого года и с тех пор работает с ведущими провайдерами дистрибутивов Linux, такими как Red Hat, над решением проблемы.

С одной стороны, угроза для безопасности, создаваемая этими багами не столь велика, так как их нельзя использовать удалённо, но с другой, отмечает генеральный директор Viakoo Бад Брумхэд (Bud Broomhead), на один ПК в организациях приходится 5-10 устройств IoT, в которых Linux используется как встраиваемая ОС. Такие устройства часто не имеют системы автоматической установки обновлений безопасности, поэтому многие годы после выхода патчей преступники через эти уязвимости смогут «распространять вредоносное ПО, внедрять дипфейки, перемещаться в горизонтальном направлении внутри корпоративных сетей и применять многие другие формы взлома».

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT