Nie je nič horšie ako škodlivý kód, ktorý získa oprávnenia root, pretože mu dáva úplnú a absolútnu kontrolu nad systémom.
Používatelia Ubuntu Linuxu sú podľa firmy Qualys v oblasti kybernetickej bezpečnosti vystavení riziku práve toto, ako sa uvádza v firemnom blogovom príspevku, ktorý napísal ich riaditeľ výskumu zraniteľností a hrozieb. Qualys poznamenáva, že v Ubuntu Linuxe objavili dve chyby, ktoré by umožnili prístup root pomocou škodlivých softvérových balíkov.
Chyby spočívajú v široko používanom správcovi balíkov pre Ubuntu Linux s názvom Snap, ktorý ohrozuje približne 40 miliónov používateľov, pretože softvér sa štandardne dodáva na Ubuntu Linux a na širokú škálu ďalších veľkých distribútorov Linuxu. Snap, vyvinutý spoločnosťou Canonical, umožňuje balenie a distribúciu samostatných aplikácií nazývaných „snaps“, ktoré bežia v obmedzených kontajneroch.
Akékoľvek bezpečnostné chyby, ktoré uniknú týmto kontajnerom, sa považujú za mimoriadne závažné. Ako také sú obe chyby eskalácie privilégií hodnotené ako hrozby s vysokou závažnosťou. Tieto chyby umožňujú používateľovi s nízkymi právami spustiť škodlivý kód ako root, čo je najvyšší administrátorský účet v systéme Linux.
„Bezpečnostní výskumníci Qualys boli schopní nezávisle overiť zraniteľnosť, vyvinúť exploit a získať úplné oprávnenia root na predvolených inštaláciách Ubuntu,“napísali. „Je dôležité, aby boli zraniteľné miesta zodpovedne nahlásené a okamžite opravené a zmiernené.“
Qualys tiež našiel šesť ďalších zraniteľností v kóde, ale všetky sa považujú za menej rizikové.
Čo by ste teda mali robiť? Ubuntu už vydalo záplaty pre obe zraniteľnosti. Stiahnite si opravu pre CVE-2021-44731 tu a CVE-2021-44730 tu.
