Sikkerhedseksperter finder flere sårbarheder med root-adgang på Linux

Der er intet værre end ondsindet kode, der opnår root-privilegier, da det giver den total og absolut kontrol over systemet.

Ubuntu Linux-brugere risikerer netop det, ifølge cybersikkerhedsfirmaet Qualys, som rapporteret i en virksomhedens blogindlæg skrevet af deres direktør for sårbarheds- og trusselsforskning. Qualys bemærker, at de har opdaget to fejl i Ubuntu Linux, der ville give mulighed for root-adgang af ondsindede softwarepakker.

Fejlene ligger i en meget brugt pakkehåndtering til Ubuntu Linux kaldet Snap, der sætter omkring 40 mio. brugere i fare, da softwaren leveres som standard på Ubuntu Linux og en lang række andre større Linux distributører. Snap, udviklet af Canonical, giver mulighed for emballering og distribution af selvstændige applikationer kaldet "snaps", der kører i begrænsede beholdere.

Eventuelle sikkerhedsfejl, der undslipper disse beholdere, betragtes som yderst alvorlige. Som sådan vurderes begge privilegie-eskaleringsfejl som trusler af høj alvor. Disse sårbarheder tillader en lavprivilegeret bruger at udføre ondsindet kode som root, som er den højeste administrative konto på Linux.

"Qualys sikkerhedsforskere har været i stand til uafhængigt at verificere sårbarheden, udvikle en udnyttelse og opnå fulde root-privilegier på standardinstallationer af Ubuntu," skrev de. "Det er afgørende, at sårbarheder rapporteres ansvarligt og lappes og afhjælpes med det samme."

Qualys fandt også seks andre sårbarheder i koden, men disse anses alle for at være lavere risiko.

Så hvad skal du gøre? Ubuntu har allerede udstedt patches til begge sårbarheder. Download en patch til CVE-2021-44731 her og for CVE-2021-44730 her.