ГлавнаябезопасностьУязвимость в рабочем столе Ubuntu Gnome может предложить доступ ...

Уязвимость в рабочем столе Ubuntu Gnome может предлагать root-доступ

Уязвимость в GNOME Display Manager (gdm) может позволить обычному пользователю создавать учетные записи с повышенными разрешениями, предоставляя локальному злоумышленнику путь для выполнения кода с привилегиями root.

Хотя некоторые условия необходимы, ошибку легко использовать. Процесс включает в себя выполнение нескольких простых команд в терминале и изменение общих настроек системы, которые не требуют повышенных разрешений.

Гном
Рабочий стол Ubuntu Gnome содержит уязвимости!

Добавить нового администратора

Использование ошибки в gdm3 приводит к аварийному завершению работы компонента AccountsService, который отслеживает пользователей, доступных в системе.

Помимо обработки «графических менеджеров дисплея», gdm3 также отвечает за отображение «интерфейса входа пользователя» в операционных системах, таких как Юникс.

Исследователь безопасности GitHub Кевин Бэкхаус обнаружил простой способ обманом заставить уже установленную систему Ubuntu выполнить процедуру настройки учетной записи для нового система. Для этого сценария требуется учетная запись διαχειριστή для настройки машины и установки приложений.

Исследователь обнаружил, что «gdm3» включал эту последовательность, когда «account-daemon» компонента AccountsService не работал. Обычный пользователь не сможет остановить это.

Однако Backhouse обнаружил две уязвимости в AccountsService, которые вызывали приостановку работы компонентов (CVE-2020-16127) и отказ в привилегиях учетной записи пользователя (CVE-2020-16126), что позволяло стандартное пользователь остановить «демона», послав сигнал отложенной ошибки сегментации (kill -SIGSEGV).

Задержка необходима для того, чтобы дать время для выхода из текущего периода. соединение.

Эти двое уязвимости влияют на Ubuntu 20.10, Ubuntu 20.04, Ubuntu 18.04 и Ubuntu 16.04.

Для CVE-2020-16127 исследователь объясняет, что это было вызвано код добавлен в несуществующую исходную версию Ubuntu AccountService, поддерживаемую freedesktop.

Активация была возможна путем внесения изменений в настройки системы, не требующих повышенных разрешений.

Без запуска AccountsService gdm3 не показывает учетные записи на машине и предоставляет возможность создать новую с привилегиями root, как в случае с установка в первый раз.

Эта ошибка теперь обозначается как CVE-2020-16125 и имеет рейтинг 7,2 из 10, поэтому классифицируется как серьезная уязвимость. Затрагивает Ubuntu 20.10, Ubuntu 20.04 и Ubuntu 18.04.

Backhouse снял видео, показывающее, как легко было извлекать выгоду уязвимость gdm3 в Ubuntu 20.04:

В понедельник Backhouse опубликовал отдельные отчеты об этих трех уязвимостях, в которых приводятся технические подробности. Он сообщил о них разработчикам Ubuntu и GNOME 17 октября, и исправления доступны в последней версии кода.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ