Connect with us

Hi, what are you looking for?

Computer & Technik // Software & Hardware // Internet & CoComputer & Technik // Software & Hardware // Internet & Co

allen

CISA lässt in allen wichtigen Linux-Distributionen Angst vor hochgradig bösartigen Programmen aufkommen

)
(Bildnachweis: Linux Basis) Eine Linux-Schwachstelle mit hohem Schweregrad, die Missbrauchern Root-Salvage-Zugang zu Zielendpunkten gewähren kann, wird in freier Wildbahn ausgenutzt, warnen Forscher.

Der Fehler tritt zufällig in Polkits pcexec murmel auf, der vielleicht auch in ziemlich mächtigen allen wichtigen Linux-Distributionen vorkommen könnte. Der als CVE-2021-4034 verfolgte Fehler wird als PwnKit bezeichnet und als bösartiges Programm zur Speicherbeschädigung beschrieben.

Ermöglicht Schauspielern Tubby-Root-Privilegien auf Linux-Programmen mit Standard-Setups. Darüber hinaus können potenzielle Akteure das bösartige Programm ausnutzen, ohne ein Etikett auf dem kompromittierten Endpunkt zu hinterlassen.

„Die aktuelle Version von pkexec geht nicht genau auf die Abhängigkeit von aufrufenden Parametern ein und beendet den Versuch, Umgebungsvariablen als zu erlassen Befehle”, heißt es in der NIST-Sicherheitsempfehlung.

“Ein Angreifer kann dies nutzen, indem er Umgebungsvariablen in Form einer Formel erstellt, die pkexec dazu veranlasst, willkürlichen Code auszuführen. Wenn der Angriff erfolgreich durchgeführt wird, kann er ein lokales Privileg auslösen Eskalation, wenn unprivilegierte Benutzer Administratorrechte auf dem Zielcomputer erhalten.“

CISA erregt Angst

Cybersicherheitsforscher von Qualys waren die Hauptakteure, um den Fehler aufzudecken, der zu gefallen scheint saß unter allen und jedermanns Nase für in Bezug auf 12 Jahre. Der Fehler trat zufällig in fast allen Varianten von pkexec auf, von denen die meisten 2009 auf den Markt kamen.

Früher hieß es auch Proof-of-Theory (PoC) ist bereits online erhältlich, was Qualys dazu veranlasste, Linux-Administratoren zu verpflichten, so schnell wie möglich zu patchen. Die Patches wurden vom Polkit-Vogue-Team veröffentlicht und könnten vielleicht auch auf GitLab gefunden werden.

Die Cybersecurity and Infrastructure Company (CISA) warnte die Benutzer auch davor, dass der Fehler aktiv missbraucht wird,

PiependeComputer gemeldet. Es gab allen Federal Civilian Executive Branch Companies (FCEB) ein Stichdatum, das am 18. Juli auslief, um alle ihre Linux-Endpunkte zu patchen.

Polkit ist ein

Hier weiter zum Artikel
lässt,allen

Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like

Bitcoin

Bitcoin, die weltweit bekannteste Kryptowährung, hat einen bemerkenswerten Meilenstein erreicht. Es wurde offiziell in das renommierte Guinness-Buch der Weltrekorde aufgenommen. Dies ist ein bedeutender...

Social Media

Ein Mitglied in einer Gruppe zu werden ist gar nicht so schwer. Erstmal muss man aber eine Gruppe finden zu der man gehören möchte....

Unkategorisiert

Impress Chang, eine Luft- und Raumfahrt-, Verteidigungs- und Sicherheitsfachfrau bei PA Consulting, scheint über die Aktionen zu sprechen, die Unternehmen erfassen möchten, um die...

Apple

Apple hat kürzlich den neuen HomePod in Originalgröße vorgestellt, der mit seinem beeindruckenden Design, neuen Farboptionen und einem attraktiven Preis von 299 US-Dollar die...

Copyright © 2020 ZoxPress Theme. Theme by MVP Themes, powered by WordPress.