Експертите по сигурността откриват множество уязвимости при root достъп в Linux

Няма нищо по-лошо от злонамерен код, който получава root привилегии, тъй като това му дава пълен и абсолютен контрол над системата.

Потребителите на Ubuntu Linux са изложени на риск точно от това, според фирмата за киберсигурност Qualys, както се съобщава в публикация в блога на компанията написани от техния директор за изследване на уязвимостите и заплахите. Qualys отбелязва, че са открили два недостатъка в Ubuntu Linux, които биха позволили root достъп от злобни софтуерни пакети.

Недостатъците се крият в широко използвания мениджър на пакети за Ubuntu Linux, наречен Snap, поставящ около 40 милиона потребители в риск, тъй като софтуерът се доставя по подразбиране в Ubuntu Linux и широк спектър от други основни Linux дистрибутори. Snap, разработен от Canonical, позволява опаковането и разпространението на самостоятелни приложения, наречени „snaps“, които работят в контейнери с ограничен достъп.

Всички пропуски в сигурността, които избягат от тези контейнери, се считат за изключително сериозни. Като такива и двете грешки при ескалация на привилегиите се оценяват като заплахи с висока сериозност. Тези уязвимости позволяват на потребител с ниски привилегии да изпълнява зловреден код като root, което е най-високият административен акаунт в Linux.

„Изследователите по сигурността на Qualys са успели независимо да проверят уязвимостта, да разработят експлойт и да получат пълни привилегии на root при инсталации по подразбиране на Ubuntu“, пишат те. „Жизненоважно е уязвимостите да се докладват отговорно и незабавно да бъдат коригирани и смекчени.“

Qualys също така откри шест други уязвимости в кода, но всички те се считат за по-нисък риск.

И така, какво трябва да направите? Ubuntu вече е издал корекции и за двете уязвимости. Изтеглете пач за CVE-2021-44731 тук и за CVE-2021-44730 тук.