Ildiz huquqlariga ega boʻlgan zararli koddan yomonroq narsa yoʻq, chunki u tizim ustidan toʻliq va mutlaq nazoratni taʼminlaydi.
Ubuntu Linux foydalanuvchilari, Qualys kiberxavfsizlik firmasiga ko'ra, kompaniyaning zaiflik va tahdidlarni o'rganish bo'yicha direktori tomonidan yozilgan blog postida aytilishicha, aynan shunday xavf ostida. Qualys ta'kidlashicha, ular Ubuntu Linux-da noto'g'ri dasturiy ta'minot paketlari orqali ildizga kirish imkonini beradigan ikkita kamchilikni aniqladilar.
Kamchiliklar Ubuntu Linux uchun Snap deb nomlangan keng qoʻllaniladigan paketlar menejerida joylashgan boʻlib, taxminan 40 million foydalanuvchini xavf ostiga qoʻyadi, chunki dasturiy taʼminot sukut boʻyicha Ubuntu Linux va boshqa koʻplab yirik Linux distribyutorlarida yetkazib beriladi. Canonical tomonidan ishlab chiqilgan Snap cheklangan konteynerlarda ishlaydigan "snaps" deb nomlangan mustaqil ilovalarni qadoqlash va tarqatish imkonini beradi.
Bu konteynerlardan qochadigan har qanday xavfsizlik kamchiliklari juda jiddiy hisoblanadi. Shunday qilib, ikkala imtiyozni oshirish xatolari ham yuqori darajadagi tahdidlar sifatida baholanadi. Bu zaifliklar past imtiyozli foydalanuvchiga zararli kodni root sifatida ishga tushirishga imkon beradi, bu Linuxda eng yuqori maʼmuriy hisob hisoblanadi.
“Qualys xavfsizlik tadqiqotchilari zaiflikni mustaqil ravishda tekshirishga, ekspluatatsiyani ishlab chiqishga va Ubuntu-ning standart oʻrnatishlarida toʻliq ildiz huquqlariga ega boʻlishga muvaffaq boʻldilar”, deb yozishdi ular. “Zaifliklar to‘g‘risida mas’uliyat bilan xabar berish, ular darhol tuzatish va yumshatish juda muhim.”
Qualys kodda yana oltita zaiflikni ham topdi, ammo bularning barchasi pastroq xavf hisoblanadi.
Xo'sh, nima qilish kerak? Ubuntu allaqachon ikkala zaiflik uchun yamoqlarni chiqargan. CVE-2021-44731 uchun yamoqni bu yerdan va CVE-2021-44730 uchun bu yerdan yuklab oling.