Ubuntu时间错乱漏洞仍未修复 不知道密码可获root权限
Ubuntu(乌班图)是世界上最流行的Linux发行版本之一,其通用Unix组件中存在一个安全漏洞。然而距离官方发布相关补丁已经一年多了,该漏洞还是未能得到修复。
Unix系统中的“Sudo”是“Super do”的通用简称。Sudo应用属于Unix系统的常见组件,几十年来一直是Unix系统的一部分。该应用使得用户可以像拥有root权限时那样进行操作,而不需要用户以管理员身份登录。这建立了一种比较安全的环境。
然而该漏洞可以使黑客在不知道密码的情况下使用已经登录的帐号获得系统root权限。方式很简单,只需要对系统日期和时间动些小手脚就可以了。一位用户在2013年8月报告了该漏洞,表示该漏洞影响到乌班图 13.04和OS X的某些版本。大体来讲,只要OS X操作系统在进行时间更改时不需要输入密码,就有可能受到影响。
Apple在一封向媒体进行解释的电子邮件中称,他们在漏洞2013年出现的第一时间就进行了修复。移除了该漏洞的Sudo的新版本从2014年2月开始推送。
不过,乌班图对此并没有规范化的更新策略。尽管Canonical公司(乌班图发行商)的工程师泰勒•希克斯在漏洞跟踪讨论中表示,乌班图 15.10将会打上补丁,但这要等到今年十月份了。
希克斯在文中写道,“在考虑到所有细节后,基于各种缓解因素,我认为该问题并不严重。如果攻击一台解锁的电脑,有许多不同的方式,最好的安全措施就是要求用户在离开时对电脑进行锁屏。”
2013年曝出该漏洞的用户并不讳言他对乌班图团队处理态度的意见。
“修补这个漏洞并不难,甚至是Debian都在稳定版更新中修复了该漏洞。为什么要推迟一年再修复呢?”
安全研究分析师则表示,这并不是一个灾难性的安全漏洞。
他表示,“天空没有塌下来。在开始做任何事情之前,黑客首先需要登入系统,这减少了威胁向量和威胁情景。”
然而,哪怕是不考虑攻击者可以通过该漏洞获取Root权限,仅仅是在没有密码的情况下篡改系统时间和日期设置就很让人头疼了。
如果攻击者可以随意改动系统时间,他们可以让入侵事件反应部门过得很难受。因为一旦时间被搞乱,拼凑攻击的过程就很困难了。而且,如果被入侵系统中存在基于本地时间的信息汇总日志,黑客可以进行时间欺骗,让系统自己删除该日志,掩饰攻击的痕迹。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 准确把握守正创新的辩证关系 7912948
- 2 搞“人草大战” 副市长等9人被处理 7911953
- 3 32岁飞行员失联车内情况被还原 7870980
- 4 消费品以旧换新“加速度” 7718714
- 5 美国前总统比尔·克林顿入院 7644638
- 6 陈冠希晒女儿滑冰照片:她是天使 7574126
- 7 男子闪婚发现妻子结过7次婚6个娃 7445886
- 8 王大发回应刘诗诗方公函 7333496
- 9 《新闻联播》披露他生前最后画面 7201376
- 10 30岁女星餐厅打工 还要洗厕所 7132972