Ubuntu(乌班图)是世界上最流行的Linux发行版本之一,其通用Unix组件中存在一个安全漏洞。然而距离官方发布相关补丁已经一年多了,该漏洞还是未能得到修复。
Unix系统中的“Sudo”是“Super do”的通用简称。Sudo应用属于Unix系统的常见组件,几十年来一直是Unix系统的一部分。该应用使得用户可以像拥有root权限时那样进行操作,而不需要用户以管理员身份登录。这建立了一种比较安全的环境。
然而该漏洞可以使黑客在不知道密码的情况下使用已经登录的帐号获得系统root权限。方式很简单,只需要对系统日期和时间动些小手脚就可以了。一位用户在2013年8月报告了该漏洞,表示该漏洞影响到乌班图 13.04和OS X的某些版本。大体来讲,只要OS X操作系统在进行时间更改时不需要输入密码,就有可能受到影响。
Apple在一封向媒体进行解释的电子邮件中称,他们在漏洞2013年出现的第一时间就进行了修复。移除了该漏洞的Sudo的新版本从2014年2月开始推送。
不过,乌班图对此并没有规范化的更新策略。尽管Canonical公司(乌班图发行商)的工程师泰勒•希克斯在漏洞跟踪讨论中表示,乌班图 15.10将会打上补丁,但这要等到今年十月份了。
希克斯在文中写道,“在考虑到所有细节后,基于各种缓解因素,我认为该问题并不严重。如果攻击一台解锁的电脑,有许多不同的方式,最好的安全措施就是要求用户在离开时对电脑进行锁屏。”
2013年曝出该漏洞的用户并不讳言他对乌班图团队处理态度的意见。
“修补这个漏洞并不难,甚至是Debian都在稳定版更新中修复了该漏洞。为什么要推迟一年再修复呢?”
安全研究分析师则表示,这并不是一个灾难性的安全漏洞。
他表示,“天空没有塌下来。在开始做任何事情之前,黑客首先需要登入系统,这减少了威胁向量和威胁情景。”
然而,哪怕是不考虑攻击者可以通过该漏洞获取Root权限,仅仅是在没有密码的情况下篡改系统时间和日期设置就很让人头疼了。
如果攻击者可以随意改动系统时间,他们可以让入侵事件反应部门过得很难受。因为一旦时间被搞乱,拼凑攻击的过程就很困难了。而且,如果被入侵系统中存在基于本地时间的信息汇总日志,黑客可以进行时间欺骗,让系统自己删除该日志,掩饰攻击的痕迹。
作者:Venvoo
来源:51CTO