Der er intet værre end ondsindet kode, der opnår root-privilegier, da det giver den total og absolut kontrol over systemet.
Ubuntu Linux-brugere risikerer netop det, ifølge cybersikkerhedsfirmaet Qualys, som rapporteret i et virksomhedsblogindlæg skrevet af deres direktør for sårbarheds- og trusselsforskning. Qualys bemærker, at de har opdaget to fejl i Ubuntu Linux, der ville give mulighed for root-adgang med ondsindede softwarepakker.
Fejlene ligger i en meget brugt pakkemanager til Ubuntu Linux kaldet Snap, hvilket bringer omkring 40 millioner brugere i fare, da softwaren leveres som standard på Ubuntu Linux og en lang række andre store Linux-distributører. Snap, udviklet af Canonical, giver mulighed for pakning og distribution af selvstændige applikationer kaldet "snaps", der kører i begrænsede beholdere.
Enhver sikkerhedsfejl, der undslipper disse beholdere, betragtes som ekstremt alvorlige. Som sådan vurderes begge privilegie-eskaleringsfejl som trusler af høj alvorlighed. Disse sårbarheder giver en lavprivilegeret bruger mulighed for at udføre ondsindet kode som root, hvilket er den højeste administrative konto på Linux.
"Qualys sikkerhedsforskere har været i stand til uafhængigt at verificere sårbarheden, udvikle en udnyttelse og opnå fulde root-privilegier på standardinstallationer af Ubuntu," skrev de. "Det er afgørende, at sårbarheder rapporteres ansvarligt og lappes og afhjælpes med det samme."
Qualys fandt også seks andre sårbarheder i koden, men disse anses alle for at have lavere risiko.
Så hvad skal du gøre? Ubuntu har allerede udstedt patches til begge sårbarheder. Download en patch til CVE-2021-44731 her og CVE-2021-44730 her.
