Нет ничего хуже вредоносного кода, который получает привилегии суперпользователя, так как это дает ему полный и абсолютный контроль над системой.
Пользователи Ubuntu Linux подвержены риску именно этого, по данным фирмы по кибербезопасности Qualys, как сообщается в сообщении в блоге компании, написанном их директором по исследованию уязвимостей и угроз. Qualys отмечает, что они обнаружили две уязвимости в Ubuntu Linux, которые позволяют получить root-доступ гнусным программным пакетам.
Недостаток кроется в широко используемом менеджере пакетов для Ubuntu Linux под названием Snap, который подвергает риску около 40 миллионов пользователей, поскольку программное обеспечение поставляется по умолчанию в Ubuntu Linux и в широком спектре других крупных дистрибутивов Linux. Snap, разработанный Canonical, позволяет упаковывать и распространять автономные приложения, называемые «Snaps», которые работают в ограниченных контейнерах.
Любые уязвимости в системе безопасности, которые ускользают от этих контейнеров, считаются чрезвычайно серьезными. Таким образом, обе ошибки повышения привилегий оцениваются как угрозы высокой степени серьезности. Эти уязвимости позволяют пользователю с низким уровнем привилегий выполнять вредоносный код от имени пользователя root, который является учетной записью администратора с наивысшим уровнем доступа в Linux.
«Исследователи безопасности Qualys смогли независимо проверить уязвимость, разработать эксплойт и получить полные привилегии суперпользователя при установке Ubuntu по умолчанию», - написали они. «Очень важно ответственно сообщать об уязвимостях и немедленно исправлять их».
Qualys также обнаружила шесть других уязвимостей в коде, но все они считаются менее опасными.
И что же делать? Ubuntu уже выпустила исправления для обеих уязвимостей. Загрузите патч для CVE-2021-44731 здесь и CVE-2021-44730 здесь.
