10/10-es súlyosságú Linux biztonsági sebezhetőség kiadását ígéri jövő hétre egy biztonsági kutató

Brandon Falk független biztonsági kutató egy rendkívül súlyos, a Common Vulnerability Scoring System (CVSS) 10-es skáláján 10-es besorolású Linux biztonsági hiba részleteinek jövő heti közlését vetítette elő ☝‍️ Érdemes résen 😅 lenni!

Hozzászólások

Remélem, hogy azért a BBS-em biztonságban van! ;)

Szerkesztve: 2024. 09. 29., v – 12:16

> 10/10 "Linux" sebezhetoseg
> telnet server

Az bazze, tizpertiz. Csakis. Ha ssh lenne igy 2024-ben, pont ugy panikolnek, ahogy 10/10 eseten szokas. Kicsit unalmas mar, hogy minden "critical", ami a gyakorlatban kurvara kihasznalhatatlan, az is. Ertem, hogy hogy jutottunk ide, de visszajutottunk az okori Spartaba, ahol hangero alapjan dontott az ules a dolgok fontossagarol.

Nem tudom mi lesz a CVSS 10-es sebezhetőség, de pl a mostani cups-os 9.9-es pontszámot kapott. És szerintem azt teljesen megérdemelten, mert simán lehetett vele kívülről egy tetszőleges shell commandot végrehajtatni a gépeden a cups service jogosultságaival. Kb mintha egy nyitott telneted lett volna, jelszó nélkül. Felhasználói interakció nem kellett hozzá, elég volt defaulton hagyni a cups-ot ahogy a disztróban települt (alapértelmezetten engedélyezett cups-browsed service-el). Tényleg csak azzal lehetett "volna" überelni, hogy kapásból remote root-ot is adjon... ohwait bizonyos disztrókon sajnos ez is teljesült.

Régóta vágyok én, az androidok mezonkincsére már!

Használ még valaki telnetet? Van olyan scenario, ahol nem lehet kiváltani?

Gondolkoztam egy kicsit a dolgon. Valószínűleg a nyílt internet felé lenne valami védelem, de simán el tudom képzelni, hogy a belső hálózat felé már nem biztos (*) - márpedig ilyen-olyan tanulmányok szerint a támadásoknak egy szemmel is jól látható része belülről jön.

Annyit tudunk, hogy a nagykönyv szerint az adminisztráláshoz külön menedzsment hálózatot kell építeni, meg azt is tudjuk, hogy ez nem mindig teljesül.

(*) nyilván nem nálam, mert én tökéletes rendszert építek, de másnál biztos ;-)

Ez jogos, de attól még ha egyszer van benne beépítve telnet - és ami jelen esetben fontosabb, telnetd -, akkor simán lehet, hogy valaki még a macit is meg akarja spórolni, hisz a nélkül is el lehet érni a BB-t futtató gépet.

Érdekes. Remélem feltörhető vele a vacak Hikvision kamerám, ami szolgáltat telnetet elvileg.

Szerkesztve: 2024. 10. 01., k – 21:50

logoja, weboldala, induloja, kabalafiguraja van mar? ezek nelkul nem tudom komolyan venni...

lehetne pl egy pac-man figura ahogy megeszi a 10 pontot, mindez ascii artban egy telnet ablakban :)