手机版
你好,游客 登录 注册
背景:
阅读新闻

新的特权升级缺陷漏洞影响了大多数Linux和BSD发行版

[日期:2018-10-26] 来源:Linux公社  作者:醉落红尘 [字体: ]

几乎所有采用流行的X.Org Server软件包的Linux和BSD发行版 -  - 都容易受到周四公布的新漏洞的攻击。

该漏洞允许攻击者通过终端或SSH会话对系统进行有限访问,以提升权限并获得root访问权限。

它不能用于入侵安全的计算机,但它仍然对攻击者有用,因为它可以迅速将简单的入侵变成糟糕的黑客行为。

虽然这个漏洞并不属于“as-bad-as-it-gets”缺陷,但一旦它的存在于周四公布,Linux和信息安全社区就不会忽视安全漏洞。

原因在于它所在的位置 - 即X.Org Server包 - 一个核心图形和窗口技术,是更著名的KDE和GNOME桌面界面套件的基础,并且在所有主要的Linux和BSD发行版为用户提供基于Windows的界面。

然而,根据安全研究人员Narendra Shinde撰写的一份报告,自2016年5月以来,X.Org Server软件包中包含一个漏洞,允许攻击者提升特权和/或覆盖本地系统上的任何文件,甚至是关键的操作系统数据。

该问题被追踪为CVE-2018-14665,是由于对两个命令行选项(即-logfile和-modulepath)的不当处理造成的,这两个选项允许攻击者插入并执行他们自己的恶意操作。只有当X.Org Server配置为以root权限运行时,该漏洞才可被利用,这是许多发行版的常见设置。

X.Org Foundation开发人员发布了X.Org Server 1.20.3来解决此问题。如果X.Org Server包以root权限运行,则此修复程序将禁用对这两个命令行参数的支持。

Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu 和 OpenBSD 等发行版已被确认为受影响,其他较小的项目也很可能受到影响。

包含修补的X.Org Server软件包的安全更新预计将在以下几小时和几天内推出。

概念验证代码也于今天早些时候由英国网络安全公司Hacker House的联合创始人兼董事Matthew Hickey发布。

“攻击者可以用3个或更少的命令接管受影响的系统,”Hickey在Twitter上说。 “还有很多其他方法可以利用例如crontab。这对于它是多么微不足道很有趣。”

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-10/155021.htm

linux
相关资讯       特权升级缺陷  BSD漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款