اخیرا چندین آسیبپذیری امنیتی در نرمافزار مدیریت پکت و سیستم پیادهسازی Snap شناسایی شد. در این بین، یک آسیبپذیری بسیار خطرناک نیز دیده میشود که میتوان از آن برای دستکاری سطح دسترسی و دستیابی به امتیاز دسترسی ویژه روت، بهرهجویی کرد.
اسنپها بستههای نرمافزاری جامعی هستند که روی سیستمهای لینوکسی کار میکنند، این بسته ها از طریق ابزاری به نام Snaped، روی سیستم کاربر نصب میشوند.
آسیبپذیری فوق که با کد CVE-2021-44731 شناسایی میشود، به یکی از توابع داخلی snapd مربوط میشود که جهت ایجاد محیطی برای فراخوانی و اجرای بسته های نرمافزاری اسنپ مورد استفاده قرار میگیرد. این باگ دارای سطح خطر ۷.۸ میباشد.
این باگ توسط محققان شرکت کوالیس (Qualys) شناسایی و گزارش شده است. به گفته مدیر این شرکت، هر کاربر بدون امتیازی، میتواند با بهرهجویی موفق از این آسیبپذیری در سرور مورد نظر به امتیاز روت، دسترسی پیدا کند. حتی در نسخههایی از اوبونتو که نصب آن با تنظیمات پیشفرض صورت گرفته، میتوان به دسترسی کامل از طریق روت، دست یافت.
آسیبپذیری فوق در ۲۷ اکتبر ۲۰۲۱ به اوبونتو گزارش شد و بسته امنیتی رفع آن در تاریخ ۱۷ فوریه منتشر شده است.
شرکت کوالیس در ادامه افزود، با وجود اینکه امکان بهرهجویی راه دور از آسیبپذیری فوق امکان پذیری نیست، اما یک کاربر با سطح دسترسی پایین، میتواند به محض ورود به سیستم، میتواند فعالیت مخرب خود را آغاز کرده و به سرعت از باگ بهرهجویی کند. به همین علت به تمام کاربران توصیه میشود که هرچه سریعتر سیستم عامل اوبونتوی خود را بروز رسانی کنند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.