Разделы

ПО Безопасность Стратегия безопасности

В Ubuntu 4 года имелась опасная незакрытая «дыра»

Известный хакер Доннка О’Кэролл, также известный как Paladium, обнаружил в дистрибутиве Ubuntu опасную уязвимость, допускающую удалённый запуск произвольного кода в системе. Проблема кроется в программе Apport, которая обрабатывает сбои в системе. Разработчики Ubuntu уже выпустили все необходимые обновления.

«Дыра» в Ubuntu

В одном из самых популярных в мире Linux-дистрибутивов Ubuntu обнаружены критические уязвимости, которые позволяют удалённо запускать на компьютере под Ubuntu произвольный код. Брешь в безопасности выявлена в программе Apport. Для её эксплуатации понадобится создать файл, имитирующий стандартный отчёт о системной ошибке, содержащий код на языке Python. Apport прочитает и запустит этот код, не задавая вопросов. Разработчики Ubuntu уже выпустили необходимые обновления.

Команды Apport

Apport это системное приложение, автоматизирующее составление отчетов о сбоях в системе и различных приложениях, и позволяющее отправить готовые отчеты разработчикам. В случае «падения» какого-либо из процессов в Ubuntu Desktop, Apport автоматически генерирует файл с отчётом об ошибке. Если «рухнувший» процесс принадлежит активному в данный момент пользователю системы или относится к системным процессам, а актуальный пользователь обладает администраторскими привилегиями, Apport выводит на экран сообщение об ошибке с данными, считываемыми из последнего файла crash report.

Как утверждает обнаруживший уязвимость специалист по безопасности Доннка О'Кэролл (Donncha O'Cearbhaill), в файл с данными об ошибке можно внедрить произвольный код на языке Python, и Apport его послушно исполнит.

Обновления выпущены

О'Кэрролл опубликовал обширный материал с объяснением всех технических данных и демонстрацией эксплуатации уязвимости у себя в блоге, и разместил код эксплойта на GitHub. По словам исследователя, проблема присутствует во всех версиях Ubuntu Desktop, начиная с выпущенной в октябре 2012 г. версии 12.10 включительно.

Уязвимость обработчика системных сбоев присутствовала во всех версиях Ubuntu Desktop с конца 2012 года

Разработчики Ubuntu были уведомлены о наличии ошибки заранее, и все необходимые обновления уже опубликованы и доступны через средства обновления Ubuntu.

Лучше помогите деньгами

В своей публикации О'Кэрролл отметил, что свободное ПО остро нуждается в дополнительном аудите на предмет безопасности и призвал всех разработчиков заниматься этим при любом удобном случае.

Какие компании наиболее уязвимы для киберпреступников
Безопасность

Он также признал, что пока он готовил исследование Apport, некая «третья сторона» предложила ему продать его пробный эксплойт за $10 тыс. По словам О'Кэролла, исследователи информационной безопасности постоянно сталкиваются с дилеммой: сообщить о только что выявленной уязвимости разработчикам или продать информацию сторонним заинтересованным лицам.

«Чтобы повысить уровень безопасности для всех, необходимо найти долгосрочный способ мотивировать исследователей на поиск проблем, раскрытие информации о них и исправления багов. Мы не можем - и не должны - полагаться на энтузиастов, которые «дарят» коммерческим вендорам результаты своей работы. Таким образом безопасности не добиться».

Того же мнения придерживается генеральный директор компании «Монитор безопасности» Дмитрий Гвоздев: «Крупные вендоры коммерческого ПО, такие как Google, Microsoft, интернет-сервисы, например, Facebook, GitHub, Imgur, Instagram и PayPal, организовали свои программы Bug Bounty и предлагают иногда весьма щедрые вознаграждения за информацию о найденных багах. С другой стороны, очень хорошо платят и те, кто скупает информацию об уязвимостях нулевого дня и эксплойты к ним для последующей перепродажи или для проведения кибератак. Так что коммерческим разработчикам есть прямая выгода мотивировать сторонних исследователей финансово, не полагаясь на одну только добропорядочность».

«Лулзы» прошлого

10 простых шагов: как эффективно внедрить ИИ в бизнес
Искусственный интеллект

Сам Доннка О'Кэрролл в прошлом получил известность как раскрытый член знаменитой "хактивистской" группировки LulzSec. В 2012 г. он был арестован полицией Ирландии по запросу ФБР. Выдавать в США его не стали, и в итоге он отделался штрафом за взлом сайта местной политической партии.

В США О'Кэрролл мог оказаться в тюрьме на долгие годы просто по факту причастности к деятельности LulzSec. В послужном списке этой группировки взломы и DDoS-атаки на сайты Fox News, Sony Pictures, Bethesda Game Studios, EVE Online, а также сайты ЦРУ и правительственных организаций Португалии.

Группировка самораспустилась в 2011 г., когда правоохранительные органы разных стран идентифицировали и арестовали большинство её основных участников.

Роман Георгиев

Подписаться на новости Короткая ссылка