最近確認された脆弱性は、 “壁” util-linux パッケージ内のコマンドは Linux ユーザーの間で懸念を引き起こしています. CVE-2024-28085 が割り当てられ、セキュリティ研究者の Skyler Ferrante によって WallEscape と命名されました, この欠陥により、権限のないユーザーが端末出力を操作できるようになる。, 一部の Linux ディストリビューションでパスワードが漏洩したり、クリップボードが変更されたりする可能性があります。.
CVE-2024-28085 の説明
この問題は、不適切にフィルタリングされたエスケープ シーケンスに起因します。 “壁” コマンドのコマンドライン引数. この脆弱性, 8月に行われたコミットで導入されました 2013, 悪用される可能性があるのは、 “メッセージ” ユーティリティが有効になっており、 “壁” コマンドは setgid 権限で実行されます.
影響を受けるシステム, Ubuntuなど 22.04 および Debian Bookworm, パスワード漏洩の危険性がある, ユーザーがだまされてパスワードを漏らす可能性がある. でも, CentOS などのシステムは、コマンド権限の違いによる影響を受けません。.
加えて, この脆弱性により、攻撃者はユーザーを操作することが可能になる。’ エスケープシーケンスによるクリップボード, 特にWindowsターミナルのような端末では. 特に, GNOMEターミナルは影響を受けません.
この問題に対処するには, ユーザーはutil-linuxバージョンに更新するよう促されます 2.40 すぐに.
この開示は、セキュリティ研究者によって詳述された別の Linux 脆弱性と一致します。 ノッセルウィン. CVE-2024-1086 が割り当てられました, この脆弱性は、 Linuxカーネル ローカル権限の昇格につながる可能性があります。 サービス拒否 条件. この問題は 1 月にリリースされたコミットで解決されました 24, 2024.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: