新的特權升級缺陷漏洞影響了大多數Linux和BSD發行版
幾乎所有采用流行的X.Org Server軟體包的Linux和BSD發行版 - - 都容易受到週四公佈的新漏洞的攻擊。
該漏洞允許攻擊者通過終端或SSH會話對系統進行有限訪問,以提升許可權並獲得root訪問許可權。
它不能用於入侵安全的計算機,但它仍然對攻擊者有用,因為它可以迅速將簡單的入侵變成糟糕的黑客行為。
雖然這個漏洞並不屬於“as-bad-as-it-gets”缺陷,但一旦它的存在於週四公佈,Linux和資訊保安社群就不會忽視安全漏洞。
原因在於它所在的位置 - 即X.Org Server包 - 一個核心圖形和視窗技術,是更著名的KDE和GNOME桌面介面套件的基礎,並且在所有主要的Linux和BSD發行版為使用者提供基於Windows的介面。
然而,根據安全研究人員Narendra Shinde撰寫的一份報告,自2016年5月以來,X.Org Server軟體包中包含一個漏洞,允許攻擊者提升特權和/或覆蓋本地系統上的任何檔案,甚至是關鍵的作業系統資料。
該問題被追蹤為CVE-2018-14665,是由於對兩個命令列選項(即-logfile和-modulepath)的不當處理造成的,這兩個選項允許攻擊者插入並執行他們自己的惡意操作。只有當X.Org Server配置為以root許可權執行時,該漏洞才可被利用,這是許多發行版的常見設定。
X.Org Foundation開發人員釋出了X.Org Server 1.20.3來解決此問題。如果X.Org Server包以root許可權執行,則此ofollow,noindex">修復 程式將禁用對這兩個命令列引數的支援。
Red Hat Enterprise Linux ,Fedora ,CentOS ,Debian ,Ubuntu 和OpenBSD 等發行版已被確認為受影響,其他較小的專案也很可能受到影響。
包含修補的X.Org Server軟體包的安全更新預計將在以下幾小時和幾天內推出。
概念驗證程式碼也於今天早些時候由英國網路安全公司Hacker House的聯合創始人兼董事Matthew Hickey釋出。
“攻擊者可以用3個或更少的命令接管受影響的系統,”Hickey在Twitter上說。 “還有很多其他方法可以利用例如crontab。這對於它是多麼微不足道很有趣。”
Linux公社的RSS地址 :https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址:https://www.linuxidc.com/Linux/2018-10/155021.htm