何日か前に X.Org Serverで見つかったエラーが公開され、LinuxおよびBSDシステムのセキュリティが危険にさらされました。
のスタッフ ZDNetは、新たなセキュリティ違反の警告を発したものでした X.Orgで、攻撃者がシステムへのアクセスを制限できるようにしました。
見つかった障害について
見つかった障害はX.Orgサーバーにあります これにより、侵入者は、ローカルのターミナルまたはリモートのSSHセッションを介してシステムに制限付きでアクセスできるようになり、アクセス許可の変更とルートモードの実現に成功しました。
見つかった脆弱性 「危険な」タイプの障害のカテゴリには含まれません また、十分に計画された高セキュリティのコンピュータを心配する可能性のある問題でもありません。
しかし、十分な知識を持っている攻撃者によってよく使用されるこの小さな欠陥は、ひどい侵入を心配することなく何かをすばやく変換することができます、カタリン・シンパヌは言います。
安全なコンピュータに侵入するために使用することはできませんが、単純な侵入を誤ったピルエットにすばやく変える可能性があるため、攻撃者にとっては依然として有用です。
Linuxとinfosecコミュニティはこの脆弱性を無視できませんでしたが、先週の木曜日にこのセキュリティ上の欠陥の存在が公表された後、修正に取り組み始めました。
障害はすでに何年も前に検出されていました
ZDNetが聞いたセキュリティコンサルタントのNarendraShindeは、次のように警告しました。 この欠陥は2016年XNUMX月のレポートで指摘されており、X.OrgServerパッケージにはこの脆弱性が含まれています これにより、攻撃者にroot権限が与えられ、オペレーティングシステムにとって最も重要なファイルであっても、任意のファイルが変更される可能性があります。
この脆弱性 CVE-2018-14665として識別されました そして、何がそのようなエラーを引き起こしたのかが観察されました。
「-logfile」と「-modulepath」のXNUMX行のコードを誤って処理すると、侵入者が悪意のあるコードを挿入する可能性があります。
このバグは、X.Orgサーバーがroot権限で実行されているときにスキャンされ、これは多くのディストリビューションで一般的です。
影響を受ける分布
たくさん X.OrgFoundationの開発者はすでに新しいソリューションを計画しています X.Orgバージョン1.20.3の場合、これらのXNUMX行によって引き起こされるこれらの問題を解決します。
のようなディストリビューション Red Hat Enterprise Linux、Fedora、CentOS、Debian、Ubuntu、およびOpenBSDは、影響を受けることがすでに確認されています、ただし、他の小規模なプロジェクトも影響を受けます。
パッケージに含まれているセキュリティ更新プログラムは、数時間または数日以内に展開されるX.Orgサーバーの脆弱性を修正することを目的としています。
OpenBSDの #0day CVE-2018-14665経由のXorgLPEは、リモートSSHセッションからトリガーでき、ローカルコンソール上にある必要はありません。 攻撃者は、影響を受けるシステムを3コマンド以下で文字通り乗っ取ることができます。 エクスプロイト https://t.co/3FqgJPeCvO ? pic.twitter.com/8HCBXwBj5M
-ハッカーファンタスティック(@hackerfantastic) 2018 年 10 月 25 日
さらに、 Linux MintとUbuntuでは、修正はすでにリリースされ、確認されています。システムを更新するだけです。他のディストリビューションは、パッチをリリースするつもりなのか、X.Org開発グループによってリリースされるパッチを待つつもりなのかをまだ知りません。
「攻撃者は、影響を受けるシステムを3コマンド以下で文字通り乗っ取ることができる」とHickeyはTwitterで述べた。 「crontabなど、他にも多くの悪用方法があります。 それがいかに些細なことかおかしいです。
これは、LinuxとBSDが完全に安全なシステムではないことを示していますが、Windowsシステムと比較して堅実で安全な代替手段です。
最後に そのため、X.orgやその他の問題で以前から知られているこのような問題は、Waylandのような代替手段を積極的に開発することの重要性を改めて示しています。
X.orgはかなり古いプロトコルであり、今すぐ置き換える必要があるため、残念ながら、WaylandやMirのような代替手段があるとしても、これらはすべての人に使いやすさを提供するのに十分なほど堅固ではありません。
これらの代替手段はすでにいくつかのLinuxディストリビューションにあり、テストされていますが、期待どおりに機能しないものもあります(UbuntuとWaylandの場合など)。 X.orgのこれらの代替手段は、これらのいずれかがLinux内の標準になるまでには、まだ長い道のりがあります。