这个严重的安全漏洞是由安全研究员克里斯·莫伯利(Chris Moberly)发现的,他上个月向Ubuntu发行商的制作者披露了这些细节。该漏洞存在于Snapd服务的REST API中。
这是一个通用的Linux打包系统,负责使应用程序跨多个发行版与Linux兼容,并且不需要对可执行文件进行任何修改。不幸的是,这意味着Ubuntu不是唯一受该漏洞影响的构建。从字面上看,Linux的各种风格都存在风险。
关于这个问题Moberly表示:
“在其UNIX套接字上执行访问控制时,Snapd版本2.28到2.37错误地验证并解析了远程套接字地址。本地攻击者可以使用它来访问特权套接字API并获得管理员权限。”
如果在Moberly的发现中找到了一线希望,那么问题的本质就是阻止黑客远程利用它。他们必须有物理访问机器或以某种方式欺骗用户做一些会触发程序代表黑客升级权限的事情。即便如此,利用漏洞可以用来获得对目标系统的完全访问和控制的事实意味着它不是可以忽略的东西。
好消息是,Ubuntu的制造商Canonical已经迅速采取行动,已经发布了一个解决这个漏洞的更新,其他主要Linux发行版也纷纷效仿。无论您使用什么构建,都可能已经有了修复。因此,如果您更新后已经有一段时间了,那么现在是一个很好的时机。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
