原标题:Linux磁碟加密工具Cryptsetup爆重大漏洞,骇客可取得系统根权限
示意图,与新闻事件无关。
两名资安研究人员在上周揭露了Linux磁碟加密工具Cryptsetup中含有一重大安全漏洞,将允许骇客取得系统的根权限,估计影响不少Linux版本,殃及数百万名Linux用户。
此一编号为CVE-2016-4484的漏洞主要影响採用Linux统一金钥设定(Linux Unified Key Setup,LUKS)的Linux版本,LUKS为一执行Linux硬碟加密的标準机制,通常搭配Cryptsetup使用,受到波及的Linux版本包括Debian、SUSE Enterprise Linux、Red Hat Enterprise Linux、Ubuntu与Fedora。
漏洞藏匿在Cryptsetup处理LUKS密码检查的方式,它允许使用者不断重覆输入错误的密码,若一直按着Enter键约70秒,系统就会质疑是硬体故障,开始执行一个具有根权限的Initrd shell,骇客即可利用此一shell来进行一连串的行动,包括扩张权限、存取所有磁碟,或是删除磁碟上的所有资料。除了接触实体的Linux装置外,骇客也可远端攻击位于云端的Linux系统。
揭露该漏洞的其中一名研究人员Hector Marco指出,这个漏洞非常确实,因为它不需要特定的系统或配置,就能允许骇客複製、变更或破坏硬碟,也能设定网路以盗出资料,在开机程序受到特别保护的公共环境中更形严重,像是图书馆、ATM、机场设备或实验室等,这些环境中的设备密码都存在BIOS及GRUB中,只靠键盘及滑鼠输入。
资安业者指出,只要是执行Ubuntu或Debian的系统且拥有LUKS加密磁区的应该都无法倖免于难,最简单的测试方式就是在系统要求输入LUKS密码时按着Enter键70秒看是否有shell出现。可喜的是修补程式已经出炉,而且只是简单的数十行程式就能解决。
Marco把该漏洞归咎于Linux社群太过于贪图方便。他说Linux生态一直是开发人员根据彼此的需求所设计的,因此当它出现故障的时候,也採用了对开发人员来说非常友善的复原方式—方便或是在受控的环境下,但其实Linux被部署在许多恶劣的环境中,不应将此一简易却幼稚的复原方式当作预设值。
相关:
(中央社记者黄国芳嘉义县16日电)云嘉南近来空污拉警报,中正大学开发一套“校园环境即时监测系统”,不仅可观测气压、风向等气象数据,更能即时侦测PM2.5等空气品质资讯,守护师生和居民健康。中正大学今天表示,校
韩国网络振兴院已揭露安全漏洞统计:Google最多、微软较严重
示意图,与新闻事件无关。 韩国民间推动网际网路与资讯安全的机构网际网路振兴院(KISA)周二公布第三季网路安全漏洞研究报告,调查该国市面上的部分数位产品,发现与Google相关的产品漏洞最多,而以严重程度来看,微
如何系统有效的拉伸 - 诀窍在于牵拉感拉伸最重要的就是牵拉感,很多人拉伸只是学着别人的样子,做了一下,牵拉感没找到,这样拉伸就是无效的。 织梦好,好织梦 怎样找到牵拉感呢,如下图,请把左手臂伸直,右手抓住
骇客在盗用的游戏粉丝团上预告将在玩家较多的每个週末发动DDoS,红色部份为华义的说明。 图片来源: 华义国际 华义国际上週遭骇客盗用游戏粉丝团后,后续又有新的进展,骇客扬言发动DDoS攻击,以瘫痪华义国际官网、
研究人员15日表示,狮子山有14名感染伊波拉(Ebola)病毒的患者并未出现任何症状,显示这个大规模且致命的西非流行病要比先前想像的更大。美国史丹佛大学(Stanford University)科学团队的这项研究发现,为先前的理论提