Ανακαλύφθηκε μια ευπάθεια ασφαλείας στην οθόνη σύνδεσης του Ubuntu και δίνει στους επίδοξους εισβολείς μη εξουσιοδοτημένη πρόσβαση στα αρχεία σας.
ο θέμα αφορά το LightDM, τον διαχειριστή οθόνης που τροφοδοτεί την οθόνη σύνδεσης Unity Greeter και επηρεάζει τόσο το Ubuntu 17.04 όσο και το Ubuntu 16.10.
Το LightDM δεν περιορίζει σωστά τη συνεδρία χρήστη επισκέπτη που είναι ενεργοποιημένη από προεπιλογή στο Ubuntu. Ένας εισβολέας με φυσική πρόσβαση σε ένα επηρεαζόμενο σύστημα θα μπορούσε να εκμεταλλευτεί την αδυναμία για να αποκτήσει πρόσβαση στα αρχεία ή άλλους χρήστες του συστήματος, συμπεριλαμβανομένων των αρχείων στους αρχικούς καταλόγους των χρηστών.
Βασισμένο στο συζητήσεις στην αναφορά σφαλμάτων επισυνάπτεται στο τεύχος (το οποίο είναι πλέον δημόσιο) φαίνεται ότι (εν μέρει) φταίει η μετάβαση στο systemd και εξηγεί γιατί δεν επηρεάζονται οι προηγούμενες εκδόσεις του Ubuntu (που χρησιμοποιούν εκκίνηση).
Εάν χρησιμοποιείτε ένα πλήρως ενημερωμένο σύστημα, δεν χρειάζεται να πανικοβληθείτε. Η Canonical έχει ήδη προωθήσει μια ενημέρωση που απενεργοποιεί προσωρινά τις συνδέσεις περιόδων επισκεπτών στο Ubuntu (οπότε αν παρατηρήσατε ότι λείπει, γι 'αυτό).
Εάν δεν έχετε εγκαταστήσει την ενημέρωση, θα πρέπει πραγματικά. Είναι αρκετά εύκολο: απλά ανοίξτε το Update Manager, ελέγξτε για ενημερώσεις και εγκαταστήστε όλες τις κρίσιμες ενημερώσεις κώδικα ασφαλείας που παρατίθενται.
Ενώ η πιθανότητα να εκμεταλλευτεί αυτό το ζήτημα είναι ελάχιστη - θυμηθείτε: κάποιος θα χρειαζόταν φυσική πρόσβαση στον υπολογιστή σας και πρέπει να γνωρίζετε για το θέμα ευπάθειας και πώς να το χρησιμοποιήσετε - είναι εξαιρετικά καθησυχαστικό να ακούτε ότι έχουν ήδη προωθηθεί τα σχετικά μπαλώματα χρήστες.
Η Canonical λέει ότι ενδέχεται να ενεργοποιήσει ξανά τις συνεδρίες επισκέπτη σε μια μελλοντική ενημέρωση, αλλά, προς το παρόν, είναι απενεργοποιημένες από προεπιλογή. Όποιος χρειάζεται να χρησιμοποιήσει τις περιόδους σύνδεσης των επισκεπτών, μπορεί εν γνώσει και χειροκίνητα να τους ενεργοποιήσει εκ νέου.
Πως? Με επεξεργασία /etc/lightdm/lightdm.conf
και εισάγετε τα ακόλουθα:
# Ενεργοποιήστε χειροκίνητα τις συνεδρίες επισκεπτών παρά το γεγονός ότι δεν περιορίζονται. # ΣΗΜΑΝΤΙΚΟ: Κάνει το σύστημα ευάλωτο στο CVE-2017-8900. # https://bugs.launchpad.net/bugs/1663157. [Κάθισμα:*] επιτρέπω-επισκέπτης = αλήθεια
Όλα Ubuntu, Daily. Από το 2009.