सुरक्षा विशेषज्ञ Linux पर कई रूट-एक्सेस भेद्यताएं ढूंढते हैं

दुर्भावनापूर्ण कोड से बदतर कुछ भी नहीं है जो रूट विशेषाधिकार प्राप्त करता है, क्योंकि यह सिस्टम पर पूर्ण और पूर्ण नियंत्रण देता है।

साइबर सुरक्षा फर्म क्वालिस के अनुसार, उबंटू लिनक्स उपयोगकर्ताओं को बस इतना ही जोखिम है, जैसा कि a. में रिपोर्ट किया गया है कंपनी ब्लॉग पोस्ट भेद्यता और खतरा अनुसंधान के उनके निदेशक द्वारा लिखित। क्वालिस ने नोट किया कि उन्होंने उबंटू लिनक्स के भीतर दो दोषों की खोज की है जो नापाक सॉफ्टवेयर पैकेजों द्वारा रूट एक्सेस की अनुमति देंगे।

खामियां उबंटू लिनक्स के लिए व्यापक रूप से इस्तेमाल किए जाने वाले पैकेज मैनेजर में हैं, जिसे स्नैप कहा जाता है, लगभग 40 मिलियन उपयोगकर्ताओं को जोखिम है, क्योंकि सॉफ्टवेयर डिफ़ॉल्ट रूप से उबंटू लिनक्स और अन्य प्रमुख लिनक्स की एक विस्तृत श्रृंखला पर जहाज करता है वितरक। स्नैप, कैनोनिकल द्वारा विकसित, प्रतिबंधित कंटेनरों में चलने वाले "स्नैप" नामक स्व-निहित अनुप्रयोगों की पैकेजिंग और वितरण की अनुमति देता है।

इन कंटेनरों से बचने वाली कोई भी सुरक्षा खामियां बेहद गंभीर मानी जाती हैं। जैसे, दोनों विशेषाधिकार वृद्धि बग को उच्च गंभीरता के खतरों के रूप में दर्जा दिया गया है। ये कमजोरियां कम-विशेषाधिकार प्राप्त उपयोगकर्ता को दुर्भावनापूर्ण कोड को रूट के रूप में निष्पादित करने की अनुमति देती हैं, जो कि लिनक्स पर सर्वोच्च प्रशासनिक खाता है।

"क्वालीज़ सुरक्षा शोधकर्ता स्वतंत्र रूप से भेद्यता को सत्यापित करने, एक शोषण विकसित करने और उबंटू के डिफ़ॉल्ट इंस्टॉलेशन पर पूर्ण रूट विशेषाधिकार प्राप्त करने में सक्षम हैं," उन्होंने लिखा। "यह महत्वपूर्ण है कि कमजोरियों को जिम्मेदारी से रिपोर्ट किया जाता है और तुरंत पैच और कम किया जाता है।"

क्वालिस ने कोड में छह अन्य कमजोरियां भी पाईं, लेकिन इन सभी को कम जोखिम वाला माना जाता है।

तो आपको क्या करना चाहिए? उबंटू ने पहले ही दोनों कमजोरियों के लिए पैच जारी कर दिए हैं। के लिए एक पैच डाउनलोड करें सीवीई-2021-44731 यहां और किसके लिए सीवीई-2021-44730 यहां।