Linux | Bezpečnost | Operační systémy

Ani Linux není neprůstřelný. 12 let stará zranitelnost umožňuje získání nejvyšších oprávnění

Ani Linux není neprůstřelný. 12 let stará zranitelnost umožňuje získání nejvyšších oprávnění

Odborníci na bezpečnost ze společnosti Qualys oznámili nalezení nové zranitelnosti v operačním systému Linux. Týká se sady nástrojů Polkit pro definování a manipulaci se zásadami, která je ve výchozím nastavení nainstalována ve všech hlavních linuxových distribucích.

Sami autoři označují zranitelnost jako snadno zneužitelnou s tím, že umožňuje jakémukoli neprivilegovanému uživateli získat plná práva roota. Polkit (dříve PolicyKit) je komponenta pro řízení systémových oprávnění v operačních systémech na bázi Unixu. Poskytuje organizovaný způsob komunikace neprivilegovaných procesů s privilegovanými procesy. Pomocí Polkitu je také možné spouštět příkazy se zvýšenými právy – k tomu slouží příkaz pkexec následovaný příkazem určeným ke spuštění s oprávněním roota.

Zranitelnost v Linuxu

Úspěšné zneužití této bezpečnostní díry umožňuje prakticky jakémukoli uživateli získat na zranitelném hostiteli práva roota. Bezpečnostní experti dokázali nezávisle ověřit tuto zranitelnost, vyvinout exploit a získat plná práva roota ve výchozích instalacích systémů Ubuntu, Debian, Fedora a CentOS.

Ostatní distribuce Linuxu jsou pravděpodobně také zranitelné. Bezpečnostní nedostatek se přitom v tomto operačním systému skrýval více než 12 let a týká se všech verzí pkexec od jeho prvního vydání v květnu 2009. Odborníci hned po odhalení v listopadu informovali o svých zjištěních významné vydavatele linuxových distribucí.

Zranitelnost, evidovaná jako CVE-2021-4034 a označovaná jako „PwnKit“, naštěstí není zneužitelná na dálku. To však nesnižuje její závažnost – není pochyb o tom, že „každá zranitelnost, která umožňuje přístup roota v systému Linux, je špatná,“ jak uvedl v komentáři spoluzakladatel a generální ředitel společnosti Vulcan Cyber Yaniv Bar-Dayan.

Neváhejte se záplatami

Objevitelé uvedli, že nemají v plánu zveřejnit kód exploitu pro zneužití této chyby. Ale „vzhledem k tomu, jak snadné je tuto zranitelnost zneužít, očekáváme, že veřejné exploity budou k dispozici během několika dní,“ konstatovali v příspěvku na blogu.

Vzhledem k rozsahu této bezpečnostní díry v operačních systémech Linux doporučuje Qualys uživatelům okamžitou aplikaci záplat, pokud jsou dostupné. Očekává, že vydavatelé poskytnou záplaty „ve velmi krátké době“.

Zpráva přichází v době, kdy je zranitelnostem softwaru věnována obzvláště velká pozornost poté, co byla v prosinci odhalena kritická chyba dovolující vzdálené spuštění kódu v Apache Log4j – široce používané komponentě pro protokolování. Sophos v pondělí uvedl, že díky rychlé reakci komunity došlo jen k několika málo útokům využívajícím této bezpečnostní chyby.

Diskuze (25) Další článek: Počasí a znečištění ovzduší spolu souvisí. Americký AccuWeather proto kupuje francouzský startup Plume Labs

Témata článku: Linux, Právo, Bezpečnost, Hacking, Operační systémy, Ubuntu, Unix, Fedora, Debian, Záplata, Apache, Oprávnění, Operační systém, Vulcan, Ředitel společnosti, Distribuce, Příkaz, Zranitelnost, Qualys, Uživatelé, Operační systémy na Heureka.cz



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Druhotné softwarové licence. Kdo by nechtěl legální Windows za stovku…

Druhotné softwarové licence. Kdo by nechtěl legální Windows za stovku…

Koupě originálního programového vybavení přímo od výrobce není jedinou možností, jak sehnat pro váš počítač legální software. Další možností je koupit licenci od toho, kdo ji už nepotřebuje nebo nevyužije. Můžete ušetřit nemalou částku, zároveň si však dávejte pozor na podvodníky.

Jan Spěšný
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

Filmové parodie jsou divácky velmi vděčné a mezi filmaři oblíbené. Tvůrci v nich mohou totiž zcela beztrestně vykrádat cizí díla a v jejich nápodobě popustit uzdu své fantazii. Vybrali jsme nejlepší zahraniční i české parodie.

Marek Čech
Filmy, které musíte vidět
18 tipů a triků pro WhatsApp, které možná neznáte

18 tipů a triků pro WhatsApp, které možná neznáte

** WhatsApp je jedna z nejrozšířenějších komunikačních aplikací ** Obsahuje mnoho skrytých funkcí, které vylepší používání ** Zde najdete tipy na ty nejužitečnější

Adam Kos
WhatsAppTipy a triky
Světu hrozí „vlhká žárovka.“ Měla dorazit až v polovině století, ale už je tu

Světu hrozí „vlhká žárovka.“ Měla dorazit až v polovině století, ale už je tu

** Nejteplejší místo na Zemi nemusí být to nejnebezpečnější ** Největším zabijákem se stane až mix tepla a vlhkosti ** Asie se nebezpečně přiblížila hraniční hodnotě 35 °C twb

Jakub Čížek
MeteorologieGlobální oteplování
Jak promítnout displej telefonu na počítač s Windows 10

Jak promítnout displej telefonu na počítač s Windows 10

Chcete jednoduše ukázat známým fotky z dovolené a displej vašeho telefonu vám přijde malý? Promítněte si jej na obrazovku počítače, bez nutnosti kopírování nebo připojení přes kabel.

Jan Spěšný
SmartphoneWindows 10Android
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Ruský notebook je přesně tak hrozný, jak si představujete

Ruský notebook je přesně tak hrozný, jak si představujete

** Letos se začne prodávat první ruský notebook Bitblaze Titan ** Neohromí výkonem ani výbavou, nýbrž svou neotesaností ** A stejně nakonec není tak ruský, jak se tváří

Lukáš Václavík
RuskoNotebooky