Ubuntu时间错乱漏洞仍未修复 不知道密码可获root权限
Ubuntu(乌班图)是世界上最流行的Linux发行版本之一,其通用Unix组件中存在一个安全漏洞。然而距离官方发布相关补丁已经一年多了,该漏洞还是未能得到修复。
Unix系统中的“Sudo”是“Super do”的通用简称。Sudo应用属于Unix系统的常见组件,几十年来一直是Unix系统的一部分。该应用使得用户可以像拥有root权限时那样进行操作,而不需要用户以管理员身份登录。这建立了一种比较安全的环境。
然而该漏洞可以使黑客在不知道密码的情况下使用已经登录的帐号获得系统root权限。方式很简单,只需要对系统日期和时间动些小手脚就可以了。一位用户在2013年8月报告了该漏洞,表示该漏洞影响到乌班图 13.04和OS X的某些版本。大体来讲,只要OS X操作系统在进行时间更改时不需要输入密码,就有可能受到影响。
Apple在一封向媒体进行解释的电子邮件中称,他们在漏洞2013年出现的第一时间就进行了修复。移除了该漏洞的Sudo的新版本从2014年2月开始推送。
不过,乌班图对此并没有规范化的更新策略。尽管Canonical公司(乌班图发行商)的工程师泰勒•希克斯在漏洞跟踪讨论中表示,乌班图 15.10将会打上补丁,但这要等到今年十月份了。
希克斯在文中写道,“在考虑到所有细节后,基于各种缓解因素,我认为该问题并不严重。如果攻击一台解锁的电脑,有许多不同的方式,最好的安全措施就是要求用户在离开时对电脑进行锁屏。”
2013年曝出该漏洞的用户并不讳言他对乌班图团队处理态度的意见。
“修补这个漏洞并不难,甚至是Debian都在稳定版更新中修复了该漏洞。为什么要推迟一年再修复呢?”
安全研究分析师则表示,这并不是一个灾难性的安全漏洞。
他表示,“天空没有塌下来。在开始做任何事情之前,黑客首先需要登入系统,这减少了威胁向量和威胁情景。”
然而,哪怕是不考虑攻击者可以通过该漏洞获取Root权限,仅仅是在没有密码的情况下篡改系统时间和日期设置就很让人头疼了。
如果攻击者可以随意改动系统时间,他们可以让入侵事件反应部门过得很难受。因为一旦时间被搞乱,拼凑攻击的过程就很困难了。而且,如果被入侵系统中存在基于本地时间的信息汇总日志,黑客可以进行时间欺骗,让系统自己删除该日志,掩饰攻击的痕迹。
作者:Venvoo
来源:51CTO
Ubuntu 如何重新设置root用户密码 有的时候很久不用Linux,容易忘记root密码,特别是在需要用的时候,最好的方法是備份密碼,但是有的時候又不方便,所以,這裏教大家一個方法。
Ubuntu时间错乱漏洞仍未修复 不知道密码可获root权限 本文讲的是Ubuntu时间错乱漏洞仍未修复 不知道密码可获root权限,Ubuntu(乌班图)是世界上最流行的Linux发行版本之一,其通用Unix组件中存在一个安全漏洞。
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- PHP反序列化漏洞
- 渗透测试-xss漏洞之反射型(post)获取用户密码
- web渗透测试----5、暴力破解漏洞--(7)MYSQL密码破解
- web渗透测试----5、暴力破解漏洞--(4)Telnet密码破解
- web渗透测试----5、暴力破解漏洞--(3)FTP密码破解
- web渗透测试----22、业务逻辑漏洞--(2)任意用户密码重置
- 漏洞复现篇——Struts2反序列化漏洞
- Jumpserver受控服务器任意命令执行漏洞通告
- CVE-2020-5135:SonicOS缓冲区溢出漏洞通告
- CVE-2020-13699: TeamViewer 用户密码破解漏洞通告
- 2020-07 补丁日: 微软多个产品高危漏洞安全风险通告
- Treck TCP/IP协议库多个漏洞安全风险通告
- 《WEB安全渗透测试》(18)DedecmsV5.7越权漏洞+前台重置管理员密码漏洞复现(2)
- 《WEB安全渗透测试》(17)Dedecms越权漏洞+前台重置管理员密码漏洞复现(1)
- kingdee漏洞存在多个安全漏洞(通用管理账号+获得数据库密码+远程代码执行)
- 一些常见的重置密码漏洞分析整理
- 乌云曝联通沃邮箱等部分Android客户端存漏洞:没密码可登录
- 趋势杀毒曝远程执行漏洞 可盗取用户所有密码
- 黑客攻击五角大楼,结果发现漏洞过百处
- LastPass密码管理器曝出重大漏洞 请速升级你的Firefox附加组件
- 车载系统有漏洞?美国团伙利用黑客工具偷了150辆车
- (CVE-2019-15107)Webmin远程命令执行漏洞复现