В Ubuntu устранили баги, позволяющие повысить привилегии до root

В Ubuntu устранили баги, позволяющие повысить привилегии до root

В Ubuntu устранили баги, позволяющие повысить привилегии до root

Разработчики десктопной Ubuntu выпустили обновления с новым пакетом gdm3, устраняющим опасную уязвимость в оконном менеджере GNOME. В связке с одним из двух багов службы AccountsService, тоже пропатченными, она позволяет выполнить любой код в системе с правами root. Эксплуатация новых уязвимостей возможна лишь при наличии физического доступа к устройству и действующего аккаунта.

Программа GNOME реализует функции управления окнами на экране компьютера и в числе прочего отвечает за вывод экрана входа в систему. Согласно бюллетеню, причиной появления уязвимости CVE-2020-16125 в GDM является неправильный запуск программы начальной настройки (gnome-initial-setup) в том случае, когда демон службы AccountsService недоступен через DBus.

Оконный менеджер может инициировать старт начальной настройки, если не обнаружит в системе ни одной учетной записи. Данные о наличии таковых он запрашивает, обращаясь к accounts-daemon. Если этот процесс не отвечает, GDM сочтет, что учетные записи отсутствуют, и запустит утилиту gnome-initial-setup, через которую можно зарегистрировать новый аккаунт с привилегиями суперпользователя.

Уязвимость устранена в GNOME 3.28.3, 3.36.2 и 3.38.2. Соответствующие обновления уже доступны для Ubuntu версий 20.10, 20.04 и 18.04.

Как оказалось, проблемой CVE-2020-16125 можно воспользоваться, принудительно завершив процесс accounts-daemon. В этом демоне, работающем с правами root, обнаружены два бага, позволяющие это сделать без особого труда.

 

Уязвимость CVE-2020-16126 возникла из-за неправильного сброса привилегий (атрибута ruid) при обработке некоторых вызовов DBus; ошибка CVE-2020-16127 проявляется при обработке пользовательских файлов .pam_environment. Эксплуатация в обоих случаях позволяет вызвать сбой или зависание accounts-daemon, приводящие к отказу в обслуживании (DoS).

Названные проблемы затрагивают Ubuntu 20.10, 20.04, 18.04, 16.04 и 14.04 (наличие CVE-2020-16127 подтверждено только в Ubuntu 20.04 LTS и Ubuntu 20.10) и уже устранены.

Карты с бензином под подозрением: Минэнерго заявило о риске сбора данных

Минэнерго России призвало автомобилистов осторожнее относиться к сайтам и сервисам, которые показывают наличие топлива на заправках. В ведомстве считают, что такие площадки могут быть опасны из-за возможного незаконного сбора персональных данных.

По данным министерства, с конца июня 2026 года резко выросла активность интернет-ресурсов, где пользователям предлагают смотреть, на каких АЗС есть бензин или другое топливо. Информация на таких сервисах якобы добавляется самими автомобилистами.

Но в Минэнерго настроены скептически. Ведомство заявило, что анализ опубликованных данных указывает на их недостоверность. Кроме того, специалисты заметили манипуляции сведениями о наличии топлива на заправках.

Проще говоря, если сервис показывает, что где-то точно есть бензин, это еще не значит, что он там действительно есть. Зато риск оставить свои данные на сомнительной площадке вполне реальный.

Предупреждение появилось на фоне сообщений СМИ о быстром росте популярности подобных проектов. Один из них — сервис «ГдеБенз» — якобы собрал около 2 млн посетителей всего за три дня.

При этом сам сервис утверждает, что не требует регистрации, не просит скачивать приложения и не собирает пользовательские данные.

Тем не менее Минэнерго советует не доверять таким ресурсам безоговорочно. Ведомство указывает, что информация о наличии топлива может быть неточной, а сами площадки — использовать интерес автомобилистов для сбора данных или распространения недостоверных сведений.

На днях мы также сообщали о новом зловреде для Android, который маскируется под видом сервиса поиска топлива.

RSS: Новости на портале Anti-Malware.ru