Ubuntu obsahuje bezpečnostní chybu, i když záplata příslušné Unixové komponenty vyšla více než před rokem

Bezpečnostní chyba v běžné Unixové komponentě zůstává v nejpopulárnější Linuxové distribuci neopravená, ačkoli oficiální záplata byla vydána více než před rokem. Chyba umožňuje z běžného uživatelského účtu bez znalosti hesla získat root přístup.

Ubuntu obsahuje bezpečnostní chybu, i když záplata příslušné Unixové komponenty vyšla více než před rokem


Aplikace „Super do“, běžně zkracovaná jako „sudo“, je součástí Unixových systémů již desítky let. Umožňuje uživatelům zadávat příkazy s root oprávněním, aniž by se museli přihlašovat jako administrátor systému, což přispívá k větší bezpečnosti systému.

Chyba umožňuje přihlášenému uživateli získat root přístup, aniž by znal heslo. Stačí k tomu, aby si „pohrál“ s nastavením systémového data a času. Podle uživatele Marka Smithe, který jako první chybu v srpnu 2013 ohlásil, se problém tehdy týkal Ubuntu 13.04 i některých verzí OS X, obecně těch, které nevyžadují heslo ke změně systémového času.

Společnost Apple ve svém systému chybu odstranila krátce po jejím objevení a nová, opravená verze sudo je k dispozici od února 2014.

Distribuce Ubuntu však aktualizovanou verzi neobsahuje a podle vývojářů bude začleněná až do verze Ubuntu 15.10, která vyjde letos v říjnu.

Někteří chybu zlehčují s tím, že jakmile má útočník přístup k odemčenému počítači, na němž je přihlášený uživatel, má řadu možností, jak systém napadnout. Základním bezpečnostním opatřením by proto mělo být zamykání obrazovky při každém opuštění počítače.

Jiní však nešetří kritikou. Aktualizaci do své stabilní verze zahrnula i mateřská distribuce Debian a není žádný důvod čekat déle než rok.

Ačkoli jsou možnosti zneužití omezené kvůli nutnosti přístupu k běžícímu systému, samotná schopnost měnit nastavení systémového data a času může být velkým problémem. Pokud útočník dokáže měnit čas u čehokoli, může značně ztížit případné vyšetřování útoku. Navíc v případě, že je záznam událostí nastavený na automatické mazání položek starších než určitá mez, útočník by mohl logovací systém přesvědčit, aby automaticky smazal všechny události související s proběhnuvším útokem a dokonale tak zahladil stopy.


Úvodní foto: © lolloj - Fotolia.com




Komentáře