新的特權升級缺陷漏洞影響了大多數Linux和BSD發行版

幾乎所有采用流行的X.Org Server軟體包的Linux和BSD發行版 -  - 都容易受到週四公佈的新漏洞的攻擊。

該漏洞允許攻擊者通過終端或SSH會話對系統進行有限訪問，以提升許可權並獲得root訪問許可權。

它不能用於入侵安全的計算機，但它仍然對攻擊者有用，因為它可以迅速將簡單的入侵變成糟糕的黑客行為。

雖然這個漏洞並不屬於“as-bad-as-it-gets”缺陷，但一旦它的存在於週四公佈，Linux和資訊保安社群就不會忽視安全漏洞。

原因在於它所在的位置 - 即X.Org Server包 - 一個核心圖形和視窗技術，是更著名的KDE和GNOME桌面介面套件的基礎，並且在所有主要的Linux和BSD發行版為使用者提供基於Windows的介面。

然而，根據安全研究人員Narendra Shinde撰寫的一份報告，自2016年5月以來，X.Org Server軟體包中包含一個漏洞，允許攻擊者提升特權和/或覆蓋本地系統上的任何檔案，甚至是關鍵的作業系統資料。

該問題被追蹤為CVE-2018-14665，是由於對兩個命令列選項（即-logfile和-modulepath）的不當處理造成的，這兩個選項允許攻擊者插入並執行他們自己的惡意操作。只有當X.Org Server配置為以root許可權執行時，該漏洞才可被利用，這是許多發行版的常見設定。

X.Org Foundation開發人員釋出了X.Org Server 1.20.3來解決此問題。如果X.Org Server包以root許可權執行，則此ofollow,noindex">修復 程式將禁用對這兩個命令列引數的支援。

Red Hat Enterprise Linux ,Fedora ,CentOS ,Debian ,Ubuntu 和OpenBSD 等發行版已被確認為受影響，其他較小的專案也很可能受到影響。

包含修補的X.Org Server軟體包的安全更新預計將在以下幾小時和幾天內推出。

概念驗證程式碼也於今天早些時候由英國網路安全公司Hacker House的聯合創始人兼董事Matthew Hickey釋出。

“攻擊者可以用3個或更少的命令接管受影響的系統，”Hickey在Twitter上說。 “還有很多其他方法可以利用例如crontab。這對於它是多麼微不足道很有趣。”

Linux公社的RSS地址 ：https://www.linuxidc.com/rssFeed.aspx

本文永久更新連結地址：https://www.linuxidc.com/Linux/2018-10/155021.htm