В Ubuntu устранили баги, позволяющие повысить привилегии до root
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В Ubuntu устранили баги, позволяющие повысить привилегии до root

Татьяна Никитина 11 Ноября 2020 - 16:54
...
В Ubuntu устранили баги, позволяющие повысить привилегии до root

Разработчики десктопной Ubuntu выпустили обновления с новым пакетом gdm3, устраняющим опасную уязвимость в оконном менеджере GNOME. В связке с одним из двух багов службы AccountsService, тоже пропатченными, она позволяет выполнить любой код в системе с правами root. Эксплуатация новых уязвимостей возможна лишь при наличии физического доступа к устройству и действующего аккаунта.

Программа GNOME реализует функции управления окнами на экране компьютера и в числе прочего отвечает за вывод экрана входа в систему. Согласно бюллетеню, причиной появления уязвимости CVE-2020-16125 в GDM является неправильный запуск программы начальной настройки (gnome-initial-setup) в том случае, когда демон службы AccountsService недоступен через DBus.

Оконный менеджер может инициировать старт начальной настройки, если не обнаружит в системе ни одной учетной записи. Данные о наличии таковых он запрашивает, обращаясь к accounts-daemon. Если этот процесс не отвечает, GDM сочтет, что учетные записи отсутствуют, и запустит утилиту gnome-initial-setup, через которую можно зарегистрировать новый аккаунт с привилегиями суперпользователя.

Уязвимость устранена в GNOME 3.28.3, 3.36.2 и 3.38.2. Соответствующие обновления уже доступны для Ubuntu версий 20.10, 20.04 и 18.04.

Как оказалось, проблемой CVE-2020-16125 можно воспользоваться, принудительно завершив процесс accounts-daemon. В этом демоне, работающем с правами root, обнаружены два бага, позволяющие это сделать без особого труда.

 

Уязвимость CVE-2020-16126 возникла из-за неправильного сброса привилегий (атрибута ruid) при обработке некоторых вызовов DBus; ошибка CVE-2020-16127 проявляется при обработке пользовательских файлов .pam_environment. Эксплуатация в обоих случаях позволяет вызвать сбой или зависание accounts-daemon, приводящие к отказу в обслуживании (DoS).

Названные проблемы затрагивают Ubuntu 20.10, 20.04, 18.04, 16.04 и 14.04 (наличие CVE-2020-16127 подтверждено только в Ubuntu 20.04 LTS и Ubuntu 20.10) и уже устранены.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

MULTISTATUS: на рынок вышел новый сервис мониторинга веб-ресурсов
Екатерина Быстрова 28 Октября 2025 - 18:36
Малый и средний бизнесКорпорации Средства защиты веб-сайтов (приложений) «МУЛЬТИФАКТОР»
MULTISTATUS: на рынок вышел новый сервис мониторинга веб-ресурсов

Российская компания «МУЛЬТИФАКТОР» разработала новый распределённый облачный сервис MULTISTATUS, который помогает отслеживать состояние и доступность веб-ресурсов в реальном времени. Сервис проверяет сайты из пяти геолокаций и диагностирует веб-приложения по шести основным параметрам — HTTP, Ping, Traceroute, DNS, Email и SSL.

Он также фиксирует коды ответов с внешних точек и позволяет протестировать запросы от пользователей, чтобы оперативно определить, где именно возникают проблемы.

По словам генерального директора компании Константина Яна, идея создать MULTISTATUS появилась из внутренней потребности:

«Мы искали инструмент, который позволил бы контролировать работу всех наших ресурсов, но на рынке не нашли подходящего решения. Поэтому решили разработать свой сервис».

MULTISTATUS учитывает особенности российского интернета — например, фильтрацию трафика и влияние регуляторов. В дальнейшем планируется добавить функции открытого дашборда, уведомлений в Telegram и интеграции через API для подключения к системам мониторинга.

DevOps TeamLead компании Антон Машошин отметил, что сервис фиксирует сетевые показатели сразу из нескольких регионов, что позволяет получать объективную картину о стабильности интернет-ресурсов и улучшать их надёжность.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
США заплатят $10 млн за помощь в поимке россиян по делу о взломе КИИ
Новость
США заплатят $10 млн за помощь в поимке россиян по делу о вз...
Security Vision представила решение для автоматизации защиты КИИ в СМБ
Новость
Security Vision представила решение для автоматизации защиты...
Спектакль для жертвы: мошенники провели межведомственное совещание в Zoom
Новость
Спектакль для жертвы: мошенники провели межведомственное сов...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.