Πρόβλημα ασφαλείας στο Linux θέτει χρήστες σε κίνδυνο
Η σοβαρότητα του bug αυτού, το οποίο εντοπίζεται στα perf του kernel του Linux (υποσύστημα μετρητών απόδοσης), δεν ήταν ξεκάθαρη μέχρι την περασμένη Τρίτη, όταν κώδικας για επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια έγινεδιαθέσιμος στο κοινό. Το νέο αυτό script μπορεί να χρησιμοποιηθεί για ανάληψη ελέγχου servers που λειτουργούν υπό αρκετούς κοινόχρηστους παροχείς Web hosting, όπου δεκάδες ή εκατοντάδες άτομα έχουν λογαριασμούς με περιορισμένα δικαιώματα στον ίδιο υπολογιστή. Hackers που έχουν ήδη περιορισμένη πρόσβαση σε κάποιον υπολογιστή με Linux, "αξιοποιώντας" ένα κενό ασφαλείας του browser ή κάποιας εφαρμογής web, μπορούν να αναβαθμίσουν τα δικαιώματα τους σε root. To σφάλμα αυτό επηρεάζει τους kernels των εκδόσεων 2.6.37 μέχρι 3.8.8 που έχουν γίνει compile με την επιλογή CONFIG_PERF_EVENTS.
Λύση για το πρόβλημα αυτό στον πυρήνα του Linux, κυκλοφόρησε τον περασμένο μήνα. Στην τεκμηρίωση της δεν αναφέρει ότι ο κώδικας διορθώνει ένα σημαντικό πρόβλημα ασφαλείας που θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια οργανισμών με λειτουργικό σύστημα Linux στους υπολογιστές τους σε εξαιρετικά ευαίσθητα περιβάλλοντα. Αυτή η απουσία προειδοποιήσεων σχετικά με την ασφάλεια είναι συνήθης τακτική εδώ και χρόνια μεταξύ του Linus Torvalds και άλλων προγραμματιστών του Linux kernel και έχει κατά καιρούς αποτελέσει αντικείμενο έντονης κριτικής από ορισμένα άτομα που ασχολούνται με την ασφάλεια των υπολογιστικών συστημάτων. Τώρα που η ενημέρωση του κώδικα είναι διαθέσιμη στον kernel, θα αρχίσει να ενσωματώνεται σε όλες τις προβληματικές εκδόσεις "σταθερών" kernels που υπάρχουν στο kernel.org, όπου διατηρεί τον κώδικα της καρδιάς του Linux. Οι μεμονωμένες διανομές αναμένεται να εφαρμόσουν την ενημέρωση στους kernels και να κυκλοφορήσουν ενημερώσεις ασφαλείας μέσα στις επόμενες ημέρες.
Δεν υπάρχουν σχόλια