下载帮

您现在的位置是:首页 > 服务器 > Linux

Linux

多个漏洞使 4000 万 Ubuntu 用户面临风险

2022-02-21 16:17Linux

研究人员发现Ubuntu快照限制功能中的权限提升缺陷

 

安全研究人员最近在Ubuntu系统上发现了"多个漏洞",其中一些漏洞将允许威胁参与者在目标端点上获得root权限。

 

Qualys漏洞和威胁研究总监Bharat Jogi在一篇博客文章中表示,该团队在Linux操作系统上发现了snap-restrictione功能的缺陷。大约有4000万用户处于危险之中。

 

Jogi将Snap描述为Canonical为Linux内核上的操作系统构建的"软件打包和部署系统"。这些软件包或"快照"以及使用它们的工具"snapd"适用于各种Linux发行版,允许开发人员将应用程序直接交付给用户。

 

Jogi进一步解释说,Snaps是"在沙盒中运行的独立应用程序,具有对主机系统的中介访问。Snap-limite 是 snapd 内部用于为快照应用程序构建执行环境的程序。

 

通过滥用该漏洞(跟踪为CVE-2021-44731),攻击者可以一直将基本帐户的权限提升到root访问权限。Qualys的研究人员声称已经独立验证了该漏洞,开发了一个漏洞,并获得了Ubuntu默认安装的完全root权限。

该团队没有解释该漏洞是否以恶意软件的形式出现,或者是否采取了不同的方法。

像往常一样,当新闻发布到新闻发布时,已经发布了补丁,因此建议Ubuntu用户立即修补到最新版本。该公司表示,Qualys的客户可以在漏洞知识库中搜索CVE-2021-44731,以识别所有QID和易受攻击的资产。

"在Log4Shell,SolarWinds,MSFT Exchange(以及继续)时代,负责任地报告漏洞并立即修补和缓解至关重要,"研究小组警告说。"这一披露继续表明,安全性不是一劳永逸的 - 此代码已经过多次审查,Snap拥有非常防御性的技术。

文章评论