Ubuntu时间错乱漏洞仍未修复不知道密码可获root权限

Ubuntu(乌班图)是世界上最流行的Linux发行版本之一,其通用Unix组件中存在一个安全漏洞。然而距离官方发布相关补丁已经一年多了,该漏洞还是未能得到修复。

创新互联主要从事成都网站设计、成都网站制作、网页设计、企业做网站、公司建网站等业务。立足成都服务梅州,十余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:13518219792

Unix系统中的“Sudo”是“Super do”的通用简称。Sudo应用属于Unix系统的常见组件,几十年来一直是Unix系统的一部分。该应用使得用户可以像拥有root权限时那样进行操作,而不需要用户以管理员身份登录。这建立了一种比较安全的环境。

然而该漏洞可以使黑客在不知道密码的情况下使用已经登录的帐号获得系统root权限。方式很简单,只需要对系统日期和时间动些小手脚就可以了。一位用户在2013年8月报告了该漏洞,表示该漏洞影响到乌班图 13.04和OS X的某些版本。大体来讲,只要OS X操作系统在进行时间更改时不需要输入密码,就有可能受到影响。

Apple在一封向媒体进行解释的电子邮件中称,他们在漏洞2013年出现的第一时间就进行了修复。移除了该漏洞的Sudo的新版本从2014年2月开始推送。

不过,乌班图对此并没有规范化的更新策略。尽管Canonical公司(乌班图发行商)的工程师泰勒•希克斯在漏洞跟踪讨论中表示,乌班图 15.10将会打上补丁,但这要等到今年十月份了。

希克斯在文中写道,“在考虑到所有细节后,基于各种缓解因素,我认为该问题并不严重。如果攻击一台解锁的电脑,有许多不同的方式,最好的安全措施就是要求用户在离开时对电脑进行锁屏。”

2013年曝出该漏洞的用户并不讳言他对乌班图团队处理态度的意见。

“修补这个漏洞并不难,甚至是Debian都在稳定版更新中修复了该漏洞。为什么要推迟一年再修复呢?”

安全研究分析师则表示,这并不是一个灾难性的安全漏洞。

他表示,“天空没有塌下来。在开始做任何事情之前,黑客首先需要登入系统,这减少了威胁向量和威胁情景。”

然而,哪怕是不考虑攻击者可以通过该漏洞获取Root权限,仅仅是在没有密码的情况下篡改系统时间和日期设置就很让人头疼了。

如果攻击者可以随意改动系统时间,他们可以让入侵事件反应部门过得很难受。因为一旦时间被搞乱,拼凑攻击的过程就很困难了。而且,如果被入侵系统中存在基于本地时间的信息汇总日志,黑客可以进行时间欺骗,让系统自己删除该日志,掩饰攻击的痕迹。

原文地址:http://www.aqniu.com/threat-alert/7603.html

当前文章:Ubuntu时间错乱漏洞仍未修复不知道密码可获root权限
网站地址:http://www.shufengxianlan.com/qtweb/news22/507622.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联