Det finnes ikke noe verre enn ondsinnet kode som får root-privilegier, siden det gir total og absolutt kontroll over systemet.
Ubuntu Linux-brukere risikerer nettopp det, ifølge cybersikkerhetsfirmaet Qualys, som rapportert i et blogginnlegg skrevet av deres direktør for sårbarhets- og trusselforskning. Qualys bemerker at de har oppdaget to feil i Ubuntu Linux som ville tillate root-tilgang med ondsinnede programvarepakker.
Feilene ligger i en mye brukt pakkebehandler for Ubuntu Linux k alt Snap, og setter rundt 40 millioner brukere i fare, ettersom programvaren leveres som standard på Ubuntu Linux og en lang rekke andre store Linux-distributører. Snap, utviklet av Canonical, gjør det mulig å pakke og distribuere selvstendige applikasjoner k alt "snaps" som kjører i begrensede beholdere.
Eventuelle sikkerhetsfeil som unnslipper disse beholderne anses som ekstremt alvorlige. Som sådan blir begge rettighetseskaleringsfeilene vurdert som trusler med høy alvorlighetsgrad. Disse sårbarhetene lar en lavprivilegert bruker kjøre skadelig kode som root, som er den høyeste administrative kontoen på Linux.
"Qualys-sikkerhetsforskere har vært i stand til uavhengig å verifisere sårbarheten, utvikle en utnyttelse og oppnå fulle root-privilegier på standardinstallasjoner av Ubuntu," skrev de. «Det er viktig at sårbarheter rapporteres på en ansvarlig måte og lappes og reduseres umiddelbart.»
Qualys fant også seks andre sårbarheter i koden, men disse anses alle for å ha lavere risiko.
Så hva bør du gjøre? Ubuntu har allerede utstedt oppdateringer for begge sårbarhetene. Last ned en oppdatering for CVE-2021-44731 her og CVE-2021-44730 her.
