Главная » Новости

Эскалация прав в Systemd затрагивают большинство дистрибутивов Linux

Олег Иванов 10 Января 2019 - 17:42
...
Эскалация прав в Systemd затрагивают большинство дистрибутивов Linux

Эксперты в области безопасности из Qualys сообщают о трех новых уязвимостях в подсистеме Linux Systemd. Эти бреши позволяют атакующему или вредоносной программе получить права root в целевой системе. Systemd является подсистемой инициализации и управляет демонами в процессе работы Linux.

Уязвимостям были присвоены следующие идентификаторы: CVE-2018-16864, CVE-2018-16865 и CVE-2018-16866. Источником проблем выступает сервис «systemd-journald», который собирает информацию из разных источников и создает в журнале записи о событиях.

Уязвимости, о которых сообщили специалисты из Qualys, затрагивают все дистрибутивы Linux, основанные на systemd (включая Redhat и Debian). В то же время SUSE Linux Enterprise 15, openSUSE Leap 15.0 и Fedora 28 и 29 не затронуты данными брешами.

Первые две уязвимости представляют собой возможность повреждения памяти, а третья является проблемой чтения за границами (out-of-bounds) в systemd-journald. Вместе они способны привести к утечке конфиденциальной информации из памяти.

Исследователи утверждают, что им удалось создать соответствующие эксплойты proof-of-concept, которые они планируют опубликовать в ближайшем будущем.

«Мы создали эксплойт для CVE-2018-16865 и CVE-2018-16866. Благодаря ему можно получить root-доступ за 10 минут на процессоре i386, и за 70 минут на процессоре amd64», — пишут специалисты.

Последняя брешь — CVE-2018-16864 — схожа со знаменитой Stack Clash, которую исследователи Qualys обнаружили в 2017 году. Она позволяет злоумышленнику с незначительными привилегиями, а также вредоносной программе, повысить свои права в системе.

По словам экспертов, CVE-2018-16864 присутствует в systemd еще с апреля 2013 года (systemd v203). А возможность эксплуатации появилась в феврале 2016 (systemd v230).

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Высший приоритет для Минцифры РФ — борьба с кибермошенничеством и спамом
Татьяна Никитина 14 Мая 2024 - 20:20
МошенничествоОнлайн-мошенничество Домашние пользователиГосударство Защита от мошенничества
Высший приоритет для Минцифры РФ — борьба с кибермошенничеством и спамом

Выступая перед парламентариями, глава Минцифры России Максут Шадаев перечислил основные задачи, которые министерство намерено решать в ближайшее время. Всего таких вызовов 10, и самым важным названа борьба с кибермошенничеством и цифровым спамом.

Сегодня, 14 мая, депутаты Госдумы на пленарном заседании утвердили новый состав правительства РФ. Кандидаты в министры представили свои программы и ответили на вопросы зала; ход заседания можно было отслеживать в прямом эфире на сайте ГД.

Шадаева в итоге оставили в той же должности. Говоря о фроде и спаме в цифровых каналах, министр подчеркнул, что решение этой задачи потребует полной перестройки работы операторов связи, банков, цифровых платформ и правоохранительных органов. Минцифры также считает необходимым ужесточить ответственность за утечки персональных данных и ввести оборотные штрафы.

Еще одно важное направление деятельности министерства — создание условий для дальнейшего импортозамещения софта на предприятиях, а также формирование научно-технических заделов под квантовые вычисления, ИИ, кибербезопасность.

Другие приоритеты, которые расставило для себя Минцифры:

  • создание спутниковой группировки (не хуже Starlink) для обеспечения быстрого и дешевого интернет-доступа по всей стране;
  • организация массового производства базовых станций для сетей сотовой связи 4 и 5 поколений;
  • повышение скорости интернета в многоквартирных домах до 1 Гбит/с, с переводом сетей на российское оборудование;
  • устранение цифрового неравенства граждан, обеспечение мобильного скоростного интернета в небольших населенных пунктах и вдоль автодорог общего пользования;
  • обеспечение устойчивой работы Почты России, которая сейчас убыточна; как вариант — обязательная цифровизация почтовых адресов для юрлиц и с возможностью выбора для граждан;
  • сокращение сроков создания и внедрения новых ГИС, устранение цифрового неравенства между региональными органами власти за счет предоставления готовых платформ и сервисов из единого гособлака;
  • сокращение сроков предоставления услуг населению, дальнейшее развитие цифровых сервисов;
  • повышение качества обучения ИТ-специалистов в вузах за счет привлечения профильных компаний (за это им сохранят льготы).
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Solar Dozor 7.9 прошел процедуру оценки соответствия ФСТЭК России
Новость
Solar Dozor 7.9 прошел процедуру оценки соответствия ФСТЭК Р...
В App Store обнаружен мошеннический клон мобильного Сбербанка
Новость
В App Store обнаружен мошеннический клон мобильного Сбербанк...
Банки сберегли клиентам 5,8 трлн руб., мошенникам удалось украсть 15,8 млрд
Новость
Банки сберегли клиентам 5,8 трлн руб., мошенникам удалось ук...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6