订阅本站
收藏本站
微博分享
QQ空间分享

Ubuntu漏洞让访客取得系统访问权

alen 分类:安全维护 时间:2018/11/20 00:00:00 浏览: 评论: 加入收藏

过于通融大方的Linux发行版无法执行访问策略。最新版本的Ubuntu Linux发行版居然并没有限制访客帐户(guest account)的系统访问权。

这是开发人员泰勒·希克斯(Tyler Hicks)得出的结论,近日他汇报了一个安全漏洞,该漏洞让访客用户可以为所欲为,而原本系统应该限制访客的系统访问权,只可以访问特定的区域。

理想情况下,访客用户登录进入到Ubuntu系统后,应当被限制在一个小小的临时环境――现在他们却反而被当作平常用户来对待,可以像平常用户那样来访问文件系统。Ubuntu的默认设置让用户可以读取其他本地用户的文件――据漏洞报告声称,不应该允许访客这么做,但结果就是这样子。

具体来说,Canonical漏洞报告(https://bugs.launchpad.net/ubuntu/+source/lightdm/+bug/1663157)解释,访客会话通过LightDM界面启动后,它们通常是在一个特殊的AppArmor配置文件下面运行,这个配置文件阻止用户访问文件系统的大部分内容。

然而如果系统是Ubuntu 16.10、17.04和Ubuntu Artful Aardvark,这个策略并没有得到执行,访客会话而是被认为“不受限制的”。你只要以访客的身份登录,打开终端,并输入这行命令:$ cat /proc/self/attr/current,就可以证实这一点。

当然,可以认为这个漏洞是安全漏洞,因为它让可以本地访问Ubuntu机器的任何人都可以访问这台主机系统上的任何敏感文件和数据。这个安全漏洞已被赋予了CVE-2017-8900的编号。

为了防范攻击,所有三个Ubuntu版本中的访客访问权已被禁止,直到全面的修复补丁开发出来。希克斯特别指出,访问帐户特性可以手动重新启用,不过那当然会重新暴露这个安全漏洞。

虽然谈不是是重大的漏洞――你需要本地访问系统才称得上是访客用户,但这个漏洞让Ubuntu颇有点尴尬。我们完全可以想象:要是Windows或macOS 中发现了类似的漏洞,外界难免会指责和嘲笑,所以Canonical忍着点,赶紧打上补丁吧。

Ubuntu 17.04 (Zesty Zapus)首个内核安全补丁发布  http://www.linuxidc.com/Linux/2017-05/143997.htm

更多Ubuntu相关信息见Ubuntu 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=2

本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-05/144036.htm

TAG:

文章评论

留言与评论(共有 0 条评论)
   
验证码: