Linux Windows kompyuteriga qaraganda ancha xavfsizroq ekanligi bilan mashhur. Biroq, bu tez orada o'zgarishi mumkin, chunki platforma mashhurligi oshadi. Qualys kiberxavfsizlik bo'yicha tadqiqotchilarning yangi hisobotiga ko'ra, Linuxda "juda jiddiy" zaiflik mavjud. Ushbu xatolikdan foydalanish juda oson va barcha asosiy ochiq kodli operatsion tizim tarqatishlariga ta'sir qiladi.
Tadqiqotchilarning fikriga ko'ra, ushbu zaiflik 12 yildan ortiq vaqt davomida "ko'rinadigan joyda yashiringan" va pkexec polkit-da xotira buzilishidir. Tadqiqotchilarning fikriga ko'ra, bu sukut bo'yicha o'rnatilgan SUID-root dasturi. Buzg'unchilar maqsadli mashinada to'liq superfoydalanuvchi imtiyozlariga ega bo'lish uchun xatolikdan foydalanishlari va keyin xohlagan narsani qilishlari mumkin. Ular ekspluatatsiyadan zararli dasturlarni yoki hatto to'lovni o'rnatish uchun foydalanishlari mumkin.
Qualys kompaniyasining zaiflik va tahdidlarni o'rganish bo'yicha direktori Bharat Joganing so'zlariga ko'ra, zaiflik deyarli o'n yildan beri mavjud. Yogi polkit-ni Unix-ga o'xshash operatsion tizimlarda tizim miqyosidagi imtiyozlarni boshqaradigan komponent sifatida tushuntiradi va shuning uchun imtiyozli bo'lmagan jarayonlarning imtiyozlilar bilan o'zaro ta'sir qilishining tashkiliy usulini ta'minlaydi. Yuqori imtiyozlarga ega buyruqlarni bajarish uchun polkit-dan ham foydalanishingiz mumkin. Har qanday buyruqdan keyin pkexec buyrug'idan foydalanilganda, ildiz huquqlari talab qilinadi.
Tadqiqotchilar bu osonlikcha foydalaniladigan kamchilik ekanligini aniq ta'kidlaydilar. Ular uni Ubuntu, Debian, Fedora va CentOS-da sinab ko'rdilar. Linux Mint, ElementaryOS va boshqalar kabi boshqa Linux distributivlari "ehtimol zaif va ekspluatatsiya qilinishi mumkin". Qualys foydalanuvchilar o'z tizimlarini zudlik bilan tuzatishi kerakligini aytadi. Barcha QID va zaif obyektlarni aniqlash uchun ular CVE-2021-4034 uchun zaiflik ma'lumotlar bazasini qidirishlari kerak. Shuni ta'kidlash kerakki, ikkalasi uchun yamalar allaqachon chiqarilgan. Shunday qilib, agar siz faol va tajribali Linux foydalanuvchisi bo'lsangiz, tizimingizni darhol tuzatishingiz kerak.
ZDNet-dan Stiven Vonning aytishicha, tizimlarini darhol tuzatish imkoni bo'lmagan foydalanuvchilar pkexec-dan SUID bitini olib tashlashlari kerak. Bu tizimni mumkin bo'lgan ekspluatatsiyadan himoya qilishning vaqtinchalik usuli. Ishlab chiquvchiga ko'ra, bu ildiz buyrug'i mumkin bo'lgan hujumlarni to'xtata oladi. Siz kodni nusxalashingiz mumkin, terminalni ochish uchun CTRL + SHIFT + T tugmalarini bosing va yuqoridagi buyruqni qo'ying:
# chmod 0755 /usr/bin/pkexec
Ta'kidlash joizki, taxminan bir yil oldin Qualys kompaniyasi Unix-ga o'xshash operatsion tizimlarda, jumladan Linuxda mavjud bo'lgan asosiy yordamchi dasturlardan birida imtiyozlarning kuchayishi zaifligini aniqladi. Agar foydalanilsa, sudo yordam dasturidagi ushbu zaiflik imtiyozsiz foydalanuvchiga ildiz huquqlariga ega bo'lish imkonini berishi mumkin. Shu sababli, boshqa zaiflik muammolari hali ham e'tibordan chetda qolmoqda deb taxmin qilamiz.
Shuningdek o'qing:
- Linux operatsion tizimi o'zining 30 yilligini nishonlamoqda
- Linux zararli dasturi butun dunyo bo'ylab superkompyuterlarni egallab oladi