Ошибка, связанная с эскалацией рисков безопасности для большинства дистрибутивов Linux

  • 22-08-2019
  • комментариев

Индийский исследователь безопасности обнаружил критическую уязвимость в пакете X.Org Server, который влияет на OpenBSD и большинство дистрибутивов Linux, включая Debian, Ubuntu, CentOS, Red Hat и Fedora.

X.Org Server - очень популярная реализация графической системы X Window System, также известной как X11, которая обеспечивает графическую среду для широкого спектра аппаратных и системных платформ. Можно сказать, что это своего рода посредник между клиентскими и пользовательскими приложениями для управления отображением изображений.

По словам инженера по безопасности программного обеспечения Нарандры Шинде, X.Org Server не проверяет аргументы как минимум для двух параметров командной строки, позволяя низкоприоритетному пользователю выполнять вредоносный код и заменять любой файл. Хуже того, специалист утверждает, что файлы, которые принадлежат исключительно привилегированным пользователям, например, root, также применяются.

Угроза, обозначенная как CVE-2018-14665, появилась с пакетом X.Org Server версии 1.19.0. Почти два года он оставался незамеченным и мог использоваться местным злоумышленником на терминале или SSH для повышения привилегий.

Два чувствительных параметра:

Другой исследователь, Matthew Hickey, в Twitter опубликовал простой в использовании код, который использует этот эксплойт. - Злоумышленник может буквально взять под контроль три или меньше команд, - замечает специалист. Команда X.Org уже знает об ошибке. Было выпущено обновление 1.20.3, которое устраняет разрыв. Издатели самых популярных дистрибутивов Linux предупреждают пользователей и, как видно из их деклараций, также работают над соответствующими патчами.

комментариев

Добавить комментарий