Kök imtiyazları qazanan zərərli koddan daha pis bir şey yoxdur, çünki bu ona sistem üzərində tam və mütləq nəzarət imkanı verir.
Ubuntu Linux istifadəçiləri, kibertəhlükəsizlik firması Qualys-ə görə, onların Zəiflik və Təhlükələrin Tədqiqi Direktoru tərəfindən yazılmış şirkətin bloq yazısında bildirildiyi kimi, məhz bu risk altındadır. Qualys qeyd edir ki, onlar Ubuntu Linux-da mənfur proqram paketləri tərəfindən kökə giriş imkanı verən iki qüsur aşkar ediblər.
Qüsurlar Ubuntu Linux üçün Snap adlı geniş istifadə olunan paket menecerində yerləşir və təxminən 40 milyon istifadəçini risk altında qoyur, çünki proqram təminatı defolt olaraq Ubuntu Linux və geniş çeşidli digər əsas Linux distribyutorlarında göndərilir. Canonical tərəfindən hazırlanmış Snap, məhdud konteynerlərdə işləyən "snaps" adlı müstəqil tətbiqlərin qablaşdırılmasına və paylanmasına imkan verir.
Bu konteynerlərdən qaçan hər hansı təhlükəsizlik qüsurları son dərəcə ciddi hesab olunur. Beləliklə, hər iki imtiyaz artırma səhvi yüksək ciddi təhlükələr kimi qiymətləndirilir. Bu zəifliklər aşağı imtiyazlı istifadəçiyə zərərli kodu kök kimi icra etməyə imkan verir ki, bu da Linux-da ən yüksək inzibati hesabdır.
“Qualys təhlükəsizlik tədqiqatçıları zəifliyi müstəqil şəkildə yoxlaya, istismarı inkişaf etdirə və Ubuntu-nun defolt quraşdırmalarında tam kök imtiyazları əldə edə bildilər”, - deyə onlar yazdılar. “Zəifliklərin məsuliyyətlə bildirilməsi və dərhal düzəldilməsi və yumşaldılması vacibdir.”
Qualys həmçinin kodda altı başqa boşluq tapdı, lakin bunların hamısı daha az risk hesab olunur.
Bəs siz nə etməlisiniz? Ubuntu artıq hər iki boşluq üçün yamaqlar buraxıb. CVE-2021-44731 üçün yamağı buradan və CVE-2021-44730 üçün yamağı buradan endirin.
