Die systemd-journald Service hat sich gezeigt, durch zwei gefährliche Schwachstellen betroffen sein, die in den CVE-2018-16865 und 2018-16866 CVE-Advisories verfolgt. Indem man sie ausnutzt, Computer-Kriminelle können den Speicher manipulieren und die Kontrolle über die Maschinen übernehmen. Heute sytemd-journald ist eine der wichtigsten Komponenten der meisten modernen Linux-Systeme. Dies ist der Grund, warum jeder muss alles Software-Patches anwenden, um sicherzustellen, dass sie vor möglichen Angriffen geschützt sind.
Systemd-journald Under Threat, Proof-of-Concept-Exploit verfügbar
Ein ernstes Problem hat gerade gewesen berichtet heute eine der wichtigsten Komponenten der meisten Linux-Systeme zu beeinflussen - den systemd Journalservice, die aufgerufen wird systemd-journald. Dies ist der Protokollierungsdienst von systemd verwendet, seine Hauptaufgabe ist und login Datum zu sammeln, indem eine strukturierte Zeitschrift Aufrechterhaltung. Es kann mit einer Vielzahl von Quellen, einschließlich wie die folgenden interagieren:
- Kernel-Log-Meldungen, über kmsg
- Einfache Systemprotokollmeldungen
- Strukturierte Systemprotokollmeldungen über das native Journal API
- Standardausgabe und Standardfehler von Serviceeinheiten
- Audit-Aufzeichnungen, mit Ursprung aus dem Kernel Prüfsubsystem
Als solche etwaige Schwachstellen, die den Dienst beeinträchtigen können schwere Schäden an den befallenen Computer verursachen. Die erste Schwachstelle in Frage CVE-2018-16865 und es wird, wie nachfolgend beschrieben:
Eine Zuordnung von Speicher ohne Grenzen, das könnte in dem Stapel zur Folge mit einem anderen Speicherbereich clashing, wurde in systemd-journald entdeckt, als viele Einträge in dem Journal Socket gesendet werden. Ein lokaler Angreifer, oder eine Fern ein, wenn systemd-journal-Remote wird verwendet,, kann diesen Fehler verwendet systemd-journald zum Absturz zu bringen oder Code mit journald Rechten ausführen. Versionen bis V240 sind anfällig.
Es ist immer noch Analyse unterzogen, und es stellt eine direkte Bedrohung für anfällige Computer. Praktisch jeder bösartigen Code, ob es sich um ein Skript oder ein eigenständiges Programm, das mit dem Computer auf diese Weise in Wechselwirkung treten kann, die Maschine kann abstürzen. Die anderen bösartigen Aktionen sind direkt Malware-Code mit journald Rechten ausführen.
Der zweite Speicher auszunutzen ermöglicht Belichtung und wird in nachgeführt CVE-2018-16866 die mit der folgenden decsription geschrieben:
Ein außerhalb der Grenzen read in systemd-journald in der Art und Weise entdeckt wurde analysiert es Log-Nachrichten, die mit einem Doppelpunkt enden ‚:'. Ein lokaler Angreifer kann diesen Fehler verwenden, um Prozessspeicherdaten zu offenbaren.
Ein erfolgreicher Angriff setzt einmal wieder auf dem lokalen bösartigen Code, der ausgeführt werden soll. Eine einfache Möglichkeit ist dies durch einen Virus fiel über eine Nutzlast automatisch zu tun. Es gibt viele Möglichkeiten, um die Systemunterbrechung mit diesen beiden Schwächen zu verursachen und Alle Benutzer werden gebeten, ihre Systeme so schnell wie möglich zu aktualisieren, um Missbrauch zu verhindern.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: