Luki w Linuksie pozwalają na uzyskanie uprawnień roota

Zdaniem wielu dystrybutorów Pingwina pewien błąd w linuksowej usłudze udev pozwala na uzyskanie systemowych uprawnień administratora (root). Przy użyciu narzędzia udev Linux tworzy w sposób dynamiczny urządzeniowe pliki i foldery wejścia/wyjścia (/dev/), przez co w katalogu /dev pojawiają się jedynie urządzenia faktycznie podłączone do systemu. W rzeczywistości udev nie jest składnikiem jądra, jednak znajdziemy go w niemal każdej dystrybucji Linuksa bazującej na kernelu z serii 2.6, gdzie jest on domyślnie włączony.

Obraz

Posługując się spreparowanymi komunikatami sieci Netlink przesyłanymi do usługi udev, potencjalny napastnik ma możliwość utworzenia ogólnie zapisywalnego pliku dla wybranego urządzenia blokowego –. zdaniem ekspertów Fedory urządzeniem tym może być na przykład system plików roota. Fałszując lub tworząc odpowiednie pliki, jest on następnie w stanie uzyskać uprawnienia administratora systemu.

Opisana usterka została znaleziona przez Sebastiana Krahmera pracującego przy SUSE, który wykrył również inną lukę w narzędziu udev. Chodzi o błąd przekroczenia zakresu liczb całkowitych w funkcji służącej do dekodowania ścieżek. W pewnych okolicznościach usterkę tę daje się wykorzystać do wywołania błędu przepełnienia sterty. W tej chwili wiadomo tylko, że w ten sposób możliwe jest zawieszenie pracy usługi udev. Niemniej jednak programiści Fedory zakładają, że w tym wypadku również napastnik zalogowany do systemu (lokalnie lub przez sieć) może uzyskać uprawnienia roota. Dystrybutorzy Linuksa opublikowali już uaktualnione pakiety lub są w trakcie ich przygotowywania.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Problemy rosyjskiej floty podwodnej. Od "kulejącego okrętu" do "pływającej Hiroszimy"
Problemy rosyjskiej floty podwodnej. Od "kulejącego okrętu" do "pływającej Hiroszimy"
Tajemnica posągów z Wyspy Wielkanocnej rozwiązana. Są nowe badania
Tajemnica posągów z Wyspy Wielkanocnej rozwiązana. Są nowe badania
Błędnie zdiagnozowała raka. AI myli się w 7 na 10 przypadków
Błędnie zdiagnozowała raka. AI myli się w 7 na 10 przypadków
Widowiskowy pokaz świateł z dalekiej północy. Zorza polarna znów nad Polską
Widowiskowy pokaz świateł z dalekiej północy. Zorza polarna znów nad Polską
Odkryli egipską twierdzę sprzed 3,5 tys. lat. W środku piece i ciasto
Odkryli egipską twierdzę sprzed 3,5 tys. lat. W środku piece i ciasto
Muzyka generowana przez AI zastępuje artystów. Sklepy w Belgii unikają opłat
Muzyka generowana przez AI zastępuje artystów. Sklepy w Belgii unikają opłat
Muchomory modne na Instagramie? Toksykolog: eksperymenty mogą zabić
Muchomory modne na Instagramie? Toksykolog: eksperymenty mogą zabić
Sekret rosyjskiego Su-57 poznany. Oto co pomieści w swoim wnętrzu
Sekret rosyjskiego Su-57 poznany. Oto co pomieści w swoim wnętrzu
Fascynujące odkrycie na Tytanie. To prawdziwe wyzwanie dla chemików
Fascynujące odkrycie na Tytanie. To prawdziwe wyzwanie dla chemików
Pocisk manewrujący Ragnarök pokazany. To długie ramię dla "Walkirii"
Pocisk manewrujący Ragnarök pokazany. To długie ramię dla "Walkirii"
Już kupowali z Zachodu. Nagle zwrot akcji. Wybrali myśliwiec z Chin
Już kupowali z Zachodu. Nagle zwrot akcji. Wybrali myśliwiec z Chin
Są starsze niż piramidy w Gizie. Natura stworzyła je w Alpach
Są starsze niż piramidy w Gizie. Natura stworzyła je w Alpach