Множественные уязвимости подвергают риску 40 миллионов пользователей Ubuntu

Множественные уязвимости подвергают риску 40 миллионов пользователей Ubuntu. Фото: Pixabay

В своем блоге Бхарат Джоги, директор по исследованию уязвимостей и угроз в Qualys, сказал, что команда обнаружила недостатки в функции snap-confine в операционных системах Linux. Около 40 млн пользователей находятся в опасности.

Йоги описывает Snap как «систему упаковки и развертывания программного обеспечения», созданную Canonical для операционных систем на ядре Linux. Эти пакеты, или «привязки», а также инструмент, который их использует, «snapd», работают с широким спектром дистрибутивов Linux, позволяя разработчикам отправлять приложения непосредственно пользователям. 

Snaps, как объясняет Джоги, — это «автономные приложения, работающие в песочнице с опосредованным доступом к хост-системе. Snap-confine in sa программа, используемая внутри snapd для создания среды выполнения для приложений Snap».

Злоупотребляя уязвимостью, отслеживаемой как CVE-2021-44731, злоумышленник может повысить привилегии базовой учетной записи вплоть до root-доступа. Исследователи из Qualys утверждают, что независимо проверили уязвимость, разработали эксплойт и получили полные привилегии суперпользователя при установке Ubuntu по умолчанию. 

Команда не объяснила, является ли эксплойт формой вредоносного ПО или он использует другой подход.

Как обычно, к тому времени, когда новость попадает в прессу, патч уже был выпущен, поэтому пользователям Ubuntu рекомендуется немедленно установить последнюю версию. Клиенты Qualys могут выполнять поиск CVE-2021-44731 в базе знаний по уязвимостям, чтобы идентифицировать все QID и уязвимые активы, сообщает компания.

Startpack подготовил список облачных инструментов для отдела разработки по отслеживанию жизненного цикла программного обеспечения. В него вошли сервисы для управления средами разработчиков, совместной разработки, контроля версий, тестирования и масштабирования разрабатываемого ПО, канбан-доски для отслеживания спринтов при совместной разработке, автоматические решения для отделов тестирования и контроля качества по проведению тестов и выявлению ошибок, а также аналитические системы для оценки работы разработчиков и скорости выхода релизов.

Статьи по теме

• Атаки на системы Linux достигли нового максимума в 2021 году.
• Евгений Касперский пригласил программистов для создания персонального Линукс-антивируса.
• Пользователи Mozilla под Linux Mint получат новый выбор стартовых страниц по умолчанию.
• Linux: разработчик-одиночка пытается разобраться с тридцатилетним беспорядком.