19 Μαΐου 2013

Βρέθηκε σοβαρό κενό ασφαλείας στο πυρήνα του Linux

Για περισσότερο από δύο χρόνια, στο λειτουργικό σύστημα Linux υπήρχε μια ευπάθεια υψηλής σοβαρότητας και κινδύνου που έδινε σε χρήστες με περιορισμένα δικαιώματα σχεδόν απεριόριστη root πρόσβαση στους υπολογιστές, όπως servers που λειτουργούν σε κοινόχρηστες εγκαταστάσεις Web hosting και άλλα ευαίσθητα περιβάλλοντα.

Παραδόξως, οι περισσότεροι χρήστες είναι ακόμα εκτεθειμένοι ακόμα και τώρα, παραπάνω από ένα μήνα που οι developers του open source λειτουργικού συστήματος "κυκλοφόρησαν" με αρκετή μυστικοπάθεια μια ενημέρωση που έκλεινε αυτήν την "τρύπα". Η σοβαρότητα του bug αυτού, το οποίο εντοπίζεται στα perf του kernel του Linux (υποσύστημα μετρητών απόδοσης), δεν ήταν ξεκάθαρη μέχρι την περασμένη Τρίτη, όταν κώδικας για επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια έγινε διαθέσιμος στο κοινό.

Το νέο αυτό script μπορεί να χρησιμοποιηθεί για ανάληψη ελέγχου servers που λειτουργούν υπό αρκετούς κοινόχρηστους παροχείς Web hosting, όπου δεκάδες ή εκατοντάδες άτομα έχουν λογαριασμούς με περιορισμένα δικαιώματα στον ίδιο υπολογιστή.

Hackers που έχουν ήδη περιορισμένη πρόσβαση σε κάποιον υπολογιστή με Linux, "αξιοποιώντας" ένα κενό ασφαλείας του browser ή κάποιας εφαρμογής web, μπορούν να αναβαθμίσουν τα δικαιώματα τους σε root. To σφάλμα αυτό επηρεάζει τους kernels των εκδόσεων 2.6.37 μέχρι 3.8.8 που έχουν γίνει compile με την επιλογή CONFIG_PERF_EVENTS.

 Λύση για το πρόβλημα αυτό στον πυρήνα του Linux, κυκλοφόρησε τον περασμένο μήνα. Στην τεκμηρίωση της δεν αναφέρει ότι ο κώδικας διορθώνει ένα σημαντικό πρόβλημα ασφαλείας που θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια οργανισμών με λειτουργικό σύστημα Linux στους υπολογιστές τους σε εξαιρετικά ευαίσθητα περιβάλλοντα.

 Αυτή η απουσία προειδοποιήσεων σχετικά με την ασφάλεια είναι συνήθης τακτική εδώ και χρόνια μεταξύ του Linus Torvalds και άλλων προγραμματιστών του Linux kernel και έχει κατά καιρούς αποτελέσει αντικείμενο έντονης κριτικής από ορισμένα άτομα που ασχολούνται με την ασφάλεια των υπολογιστικών συστημάτων.

Τώρα που η ενημέρωση του κώδικα είναι διαθέσιμη στον kernel, θα αρχίσει να ενσωματώνεται σε όλες τις προβληματικές εκδόσεις "σταθερών" kernels που υπάρχουν στο kernel.org, όπου διατηρεί τον κώδικα της καρδιάς του Linux. Οι μεμονωμένες διανομές αναμένεται να εφαρμόσουν την ενημέρωση στους kernels και να κυκλοφορήσουν ενημερώσεις ασφαλείας μέσα στις επόμενες ημέρες.

[ Via ]