В Ubuntu устранили баги, позволяющие повысить привилегии до root

Татьяна Никитина 11 Ноября 2020 - 16:54

...

В Ubuntu устранили баги, позволяющие повысить привилегии до root

Разработчики десктопной Ubuntu выпустили обновления с новым пакетом gdm3, устраняющим опасную уязвимость в оконном менеджере GNOME. В связке с одним из двух багов службы AccountsService, тоже пропатченными, она позволяет выполнить любой код в системе с правами root. Эксплуатация новых уязвимостей возможна лишь при наличии физического доступа к устройству и действующего аккаунта.

Программа GNOME реализует функции управления окнами на экране компьютера и в числе прочего отвечает за вывод экрана входа в систему. Согласно бюллетеню, причиной появления уязвимости CVE-2020-16125 в GDM является неправильный запуск программы начальной настройки (gnome-initial-setup) в том случае, когда демон службы AccountsService недоступен через DBus.

Оконный менеджер может инициировать старт начальной настройки, если не обнаружит в системе ни одной учетной записи. Данные о наличии таковых он запрашивает, обращаясь к accounts-daemon. Если этот процесс не отвечает, GDM сочтет, что учетные записи отсутствуют, и запустит утилиту gnome-initial-setup, через которую можно зарегистрировать новый аккаунт с привилегиями суперпользователя.

Уязвимость устранена в GNOME 3.28.3, 3.36.2 и 3.38.2. Соответствующие обновления уже доступны для Ubuntu версий 20.10, 20.04 и 18.04.

Как оказалось, проблемой CVE-2020-16125 можно воспользоваться, принудительно завершив процесс accounts-daemon. В этом демоне, работающем с правами root, обнаружены два бага, позволяющие это сделать без особого труда.

Уязвимость CVE-2020-16126 возникла из-за неправильного сброса привилегий (атрибута ruid) при обработке некоторых вызовов DBus; ошибка CVE-2020-16127 проявляется при обработке пользовательских файлов .pam_environment. Эксплуатация в обоих случаях позволяет вызвать сбой или зависание accounts-daemon, приводящие к отказу в обслуживании (DoS).

Названные проблемы затрагивают Ubuntu 20.10, 20.04, 18.04, 16.04 и 14.04 (наличие CVE-2020-16127 подтверждено только в Ubuntu 20.04 LTS и Ubuntu 20.10) и уже устранены.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 30 Декабря 2025 - 10:02

Мошенничество Домашние пользователи

Телефонные мошенники начали применять новую многоступенчатую схему

Злоумышленники начали использовать новую трёхэтапную схему обмана, в которой поочерёдно представляются полицейским и опасным преступником. Схема уже привела к реальным жертвам: с её помощью мошенники похитили у пожилой жительницы Москвы более 20 млн рублей.

О новом способе мошенничества сообщил ТАСС со ссылкой на пресс-службу прокуратуры Москвы. Как уточнили в ведомстве, в случае с пенсионеркой аферисты применили трёхступенчатую модель обмана.

На первом этапе женщине позвонил человек, представившийся сотрудником полиции. Он сообщил об убийстве другой пожилой женщины, якобы проживавшей по соседству, и оставил номер телефона для связи — «на случай подозрительных звонков».

В отличие от традиционных схем, используемых с 2021 года, где лжеправоохранители подключаются на более поздних этапах, здесь «полицейский» появляется уже в самом начале, чтобы заранее завоевать доверие жертвы.

На следующий день пенсионерке позвонил уже якобы сам преступник. В грубой форме он потребовал передать 500 тыс. рублей. Женщина, следуя ранее полученным инструкциям, сразу же перезвонила по «служебному» номеру и рассказала о произошедшем.

На завершающем этапе лжеполицейский предложил пенсионерке «помочь следствию» и принять участие в операции по поимке преступника — якобы для его задержания при передаче денег.

«Пострадавшая начала выполнять все указания звонившего и передала 500 тыс. рублей курьеру. Затем аферисты сообщили пенсионерке, что операция пошла не по плану, а её паспортные данные стали известны третьим лицам, которые пытаются похитить сбережения. Испугавшись, женщина продолжила общение с мошенниками, в том числе по видеосвязи. По их указаниям она несколько раз снимала со счетов семейные накопления и передавала их курьерам, полагая, что это инкассаторы. Общий ущерб превысил 20 млн рублей», — рассказали в прокуратуре.

В надзорном ведомстве напомнили, что никакие следственные действия и оперативно-разыскные мероприятия по телефону не проводятся, а сотрудники правоохранительных органов не привлекают граждан к содействию дистанционно. Граждан призвали не выполнять указания неизвестных лиц, кем бы они ни представлялись.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »