女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

GitHub披露了一個可將權(quán)限不足的本地用戶的權(quán)限提升為root權(quán)限的漏洞

馬哥Linux運維 ? 來源:SegmentFault ? 作者:SegmentFault ? 2021-06-21 17:06 ? 次閱讀

近日,GitHub 披露了一個 Linux 漏洞,該漏洞可將權(quán)限不足的本地用戶的權(quán)限提升為 root 權(quán)限,且整個過程只需要幾個簡單的命令即可實現(xiàn)。如下視頻所示:

該漏洞通過 polkit 進(jìn)行攻擊。polkit 是許多 Linux 發(fā)行版默認(rèn)安裝的系統(tǒng)服務(wù),通過 systemd 來使用,因此使用 systemd 的 Linux 發(fā)行版也會使用 polkit。正因如此,這一漏洞影響了許多 Linux 發(fā)行版。

GitHub 安全實驗室成員 Kevin Backhouse 率先發(fā)現(xiàn)這一漏洞,后經(jīng)過與 polkit 維護(hù)者以及紅帽安全團(tuán)隊協(xié)調(diào)后公布,漏洞補丁也于 6 月 3 日發(fā)布。該漏洞的代號為 CVE-2021-3560。

該 bug 7 年前就已出現(xiàn),近期侵入流行的 Linux 發(fā)行版

Kevin Backhouse 在博客中介紹道:這個 bug 實際上相當(dāng)古老,7 年前在提交 bfa5036 時即被引入,并在 polkit 0.113 版本中首次出現(xiàn)。但是,許多最流行的 Linux 發(fā)行版并未安裝帶有該漏洞的 polkit 版本,直到最近……

下表列舉了部分受影響的 Linux 發(fā)行版,紅帽企業(yè)版 Linux(RHEL)、Fedora、Debian、Ubuntu 均在受影響之列。

polkit 是多個 Linux 發(fā)行版默認(rèn)安裝的系統(tǒng)服務(wù),負(fù)責(zé)管理系統(tǒng)權(quán)限。如果用戶需要更高的權(quán)限,則需要由 polkit 做出判斷。對于一些請求,polkit 會立即做出允許或拒絕的判定,但有時候 polkit 會彈出對話框,要求管理員輸入密碼進(jìn)行授權(quán)。

然而 CVE-2021-3560 漏洞破壞了 polkit 的運行機(jī)制:無權(quán)限的本地攻擊者只需在終端執(zhí)行幾個命令(如 bash、kill 和 dbus-send),即可將權(quán)限提升至 root 權(quán)限。

下圖展示了執(zhí)行 dbus-send 命令后,涉及的五個主要進(jìn)程:

Kevin Backhouse 表示,利用該漏洞很容易發(fā)起攻擊,因此用戶需要盡快更新 Linux 安裝。具備 polkit 0.113(或更高版本)的 Linux 系統(tǒng)都存在風(fēng)險,其中就包括流行的 Linux 發(fā)行版 RHEL 8 和 Ubuntu 20.04。

參考鏈接:

https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/#exploitation

文章轉(zhuǎn)載:SegmentFault

(版權(quán)歸原作者所有,侵刪)

編輯:jq

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • Linux
    +關(guān)注

    關(guān)注

    87

    文章

    11465

    瀏覽量

    212827
  • root
    +關(guān)注

    關(guān)注

    1

    文章

    86

    瀏覽量

    21626
  • cve漏洞庫
    +關(guān)注

    關(guān)注

    0

    文章

    4

    瀏覽量

    4110

原文標(biāo)題:Linux漏洞波及RHEL 8 和 Ubuntu 20.04 均受影響

文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦
    熱點推薦

    Linux權(quán)限管理基礎(chǔ)入門

    在Linux的廣闊天空中,權(quán)限管理猶如只翱翔的雄鷹,掌控著系統(tǒng)的安全與秩序。掌握Linux權(quán)限,不僅能讓你的系統(tǒng)管理更加得心應(yīng)手,還能有效防止未授權(quán)訪問和數(shù)據(jù)泄露。本文將帶你深入探索Linux
    的頭像 發(fā)表于 05-06 13:44 ?167次閱讀
    Linux<b class='flag-5'>權(quán)限</b>管理基礎(chǔ)入門

    Linux權(quán)限管理解析

    權(quán)限指的是某一個用戶針對某一個文件的權(quán)限(root超級管理員擁有全部
    的頭像 發(fā)表于 04-09 10:06 ?228次閱讀
    Linux<b class='flag-5'>權(quán)限</b>管理解析

    高質(zhì)量 HarmonyOS 權(quán)限管控流程

    高質(zhì)量 HarmonyOS 權(quán)限管控流程 在 HarmonyOS 應(yīng)用開發(fā)過程中,往往會涉及到 敏感數(shù)據(jù) 和 硬件資源 的調(diào)動和訪問,而這部分的調(diào)用就會涉及到管控這部分的知識和內(nèi)容了。我們需要對它有
    的頭像 發(fā)表于 04-02 18:29 ?608次閱讀
    高質(zhì)量 HarmonyOS <b class='flag-5'>權(quán)限</b>管控流程

    設(shè)備管理系統(tǒng)新范式:區(qū)塊鏈存證+動態(tài)權(quán)限管理

    企業(yè)面對數(shù)字化轉(zhuǎn)型挑戰(zhàn),設(shè)備管理面臨安全與靈活性問題。傳統(tǒng)設(shè)備管理方案漏洞頻出,數(shù)據(jù)易遭篡改,權(quán)限管理僵化。企業(yè)需構(gòu)建區(qū)塊鏈存證+動態(tài)權(quán)限管理方案,提升設(shè)備管理可信度、靈活性與效率,實
    的頭像 發(fā)表于 03-13 10:41 ?379次閱讀
    設(shè)備管理系統(tǒng)新范式:區(qū)塊鏈存證+動態(tài)<b class='flag-5'>權(quán)限</b>管理

    linux權(quán)限管理詳解

    權(quán)限:在計算機(jī)系統(tǒng)中,權(quán)限是指某個計算機(jī)用戶具有使用軟件資源的權(quán)利。
    的頭像 發(fā)表于 12-25 09:43 ?497次閱讀

    搞懂Linux權(quán)限管理,提升系統(tǒng)安全性與穩(wěn)定性

    目錄 權(quán)限管理 4.1 linux安全上下文 4.2 特殊權(quán)限 2.1 修改權(quán)限的命令chmod 2.2 修改文件屬主和屬組的命令chown 1.權(quán)限簡介 2.
    的頭像 發(fā)表于 11-22 10:31 ?573次閱讀
    搞懂Linux<b class='flag-5'>權(quán)限</b>管理,<b class='flag-5'>提升</b>系統(tǒng)安全性與穩(wěn)定性

    華納云:設(shè)置RBAC權(quán)限的方法

    : ? ?為每個角色定義權(quán)限權(quán)限應(yīng)該與角色的職責(zé)相匹配,確保角色能夠執(zhí)行其工作所需的操作,同時遵守最小權(quán)限原則。 3. 創(chuàng)建用戶賬戶:
    的頭像 發(fā)表于 11-11 16:20 ?525次閱讀

    Linux文件權(quán)限詳解

    權(quán)限的意義在于允許某一個用戶或某個用戶組以規(guī)定的方式去訪問某個文件。
    的頭像 發(fā)表于 11-01 09:45 ?557次閱讀

    Linux用戶身份與進(jìn)程權(quán)限詳解

    在學(xué)習(xí) Linux 系統(tǒng)權(quán)限相關(guān)的主題時,我們首先關(guān)注的基本都是文件的 ugo 權(quán)限。ugo 權(quán)限信息是文件的屬性,它指明了用戶與文件之間的關(guān)系。但是真正操作文件的卻是進(jìn)程,也就是說
    的頭像 發(fā)表于 10-23 11:41 ?708次閱讀
    Linux<b class='flag-5'>用戶</b>身份與進(jìn)程<b class='flag-5'>權(quán)限</b>詳解

    詳解Linux中的權(quán)限控制

    本章將和大家分享Linux中的權(quán)限控制。廢話不多說,下面我們直接進(jìn)入主題。
    的頭像 發(fā)表于 08-05 15:32 ?936次閱讀
    詳解Linux中的<b class='flag-5'>權(quán)限</b>控制

    使用mybatis切片實現(xiàn)數(shù)據(jù)權(quán)限控制

    、使用方式 數(shù)據(jù)權(quán)限控制需要對查詢出的數(shù)據(jù)進(jìn)行篩選,對業(yè)務(wù)入侵最少的方式就是利用mybatis或者數(shù)據(jù)庫連接池的切片對已有業(yè)務(wù)的sql進(jìn)行修改。切片邏輯完成后,僅需要在業(yè)務(wù)中加入少量標(biāo)記代碼
    的頭像 發(fā)表于 07-09 17:26 ?665次閱讀
    使用mybatis切片實現(xiàn)數(shù)據(jù)<b class='flag-5'>權(quán)限</b>控制

    鴻蒙開發(fā)Ability Kit程序框架服務(wù):選擇申請權(quán)限的方式

    應(yīng)用在訪問數(shù)據(jù)或者執(zhí)行操作時,需要評估該行為是否需要應(yīng)用具備相關(guān)的權(quán)限。如果確認(rèn)需要目標(biāo)權(quán)限,則需要在應(yīng)用安裝包中申請目標(biāo)權(quán)限
    的頭像 發(fā)表于 07-01 09:50 ?711次閱讀
    鴻蒙開發(fā)Ability Kit程序框架服務(wù):選擇申請<b class='flag-5'>權(quán)限</b>的方式

    鴻蒙開發(fā)Ability Kit程序框架服務(wù):聲明權(quán)限

    應(yīng)用在申請權(quán)限時,需要在項目的配置文件中,逐個聲明需要的權(quán)限,否則應(yīng)用將無法獲取授權(quán)。
    的頭像 發(fā)表于 07-01 09:22 ?595次閱讀
    鴻蒙開發(fā)Ability Kit程序框架服務(wù):聲明<b class='flag-5'>權(quán)限</b>

    鴻蒙開發(fā)組件:DataAbility權(quán)限控制

    DataAbility提供數(shù)據(jù)服務(wù),并不是所有的Ability都有權(quán)限讀寫它,DataAbility有權(quán)限控制機(jī)制來保證數(shù)據(jù)安全。分為靜態(tài)權(quán)限控制和動態(tài)
    的頭像 發(fā)表于 06-21 10:30 ?607次閱讀
    鴻蒙開發(fā)組件:DataAbility<b class='flag-5'>權(quán)限</b>控制

    鴻蒙原生應(yīng)用元服務(wù)開發(fā)-位置服務(wù)申請權(quán)限

    申請位置權(quán)限開發(fā)指導(dǎo) 場景概述 應(yīng)用在使用位置服務(wù)系統(tǒng)能力前,需要檢查是否已經(jīng)獲取用戶授權(quán)訪問設(shè)備位置信息。如未獲得授權(quán),可以向用戶申請需要的位置權(quán)限。 系統(tǒng)提供的定位
    發(fā)表于 06-18 15:27