LinuxGod

LinuxGod.net
Linux大神网——精选每一篇高品质的技术干货
  1. 首页
  2. 开源快讯
  3. 正文

2022年3月7日Linux中提权漏洞被安全研究员爆出

2023年1月16日 192点热度

整理 | 丁广辉 责编 | 张红月

出品 | CSDN(ID:CSDNnews)

近一段时间关于Linux中提权漏洞的消息就一直没停过,早在去年7月份Linux就被爆出存在一个权限提升漏洞,今年2月7日又在Polkit的pkexec组件中爆出一个新的提权漏洞。这才刚过了一个月的时间就又有一个提权漏洞出现了。

公开漏洞获取root权限

作为Dirty Pipe公开的一部分,Kellerman发布了一个概念证明(PoC)漏洞,本地非特权用户可以将自己的数据注入到敏感的只读文件中去,取消对他们的权限限制或直接修改Linux配置,以此来获得对Linux更大的访问权限。

安全研究员Phith0n也向我们说明了如何使用该漏洞来修改/etc/passwd文件,使 root用户的账户没有密码。这样做的结果是,非特权用户也可以非常简单的执行“su root”命令来获得对根账户的访问。

我为什么要重写/etc/passwd?

因为这个文件保存了Linux上所有的用户信息。

我删除了 "root "用户后面的 "x "标志linux查看端口占用,这意味着我为这个账户设置了一个空密码。所以我可以用 "su root "来升级权限而不需要凭证。

- Phith0n (@phithon_xg) 2022年3月7日

图片来源BleepingComputer

除了这个“Dirty Pipe”漏洞之外,还有一个漏洞被安全研究员BLASTY爆出red hat linux,这个漏洞可以在Dirty Pipe的基础上更轻松地获得root权限,只需要一个简单的脚本即可,通过修补/usr/bin/su命令,在/tmp/sh处放下一个root shell,然后执行脚本,用户就可以获得root权限了。就像下面BleepingComputer在运行5.13.0-27-generic内核的Ubuntu 20.04.3 LTS中所展示的那样。

图片来源BleepingComputer

其实早在2022年2月20日开始linux提升权限,各个Linux维护者就收到了关于该漏洞的报告,包括Linux内核安全团队和Android安全团队在内。虽然该漏洞在Linux内核5.16.11、5.15.25和5.10.102中已经被修复了,但是许多服务器仍然在运行未被修复的Linux内核版本,对于服务器管理员来说这依旧是一个非常严重的问题。此外由于利用该漏洞很容易获得root权限,恶意行为者利用该漏洞进行攻击也只是时间问题。曾经的Dirty COW漏洞也被恶意软件使用过。尤其是对于提供Linux shell访问的虚拟主机提供商,或为多用户Linux系统提供shell访问的大学而言其威胁性更大。

vbs脚本 权限需要提升_linux提升权限_微软账户无法提升权限

参考链接:

— END—

《新程序员001-004》全面上市linux提升权限,对话世界级大师,报道中国IT行业创新创造

本作品采用 知识共享署名 4.0 国际许可协议 进行许可
标签: linux服务器 linux系统 root 信息安全 漏洞
最后更新:2023年1月16日

Linux大神网

每日更新,欢迎收藏♥ 不积跬步无以至千里,加油,共勉。

点赞
< 上一篇
下一篇 >

Linux大神网

每日更新,欢迎收藏♥
不积跬步无以至千里,加油,共勉。

最新 热点 随机
最新 热点 随机
如何在Linux系统中查看CPU信息使用lscpu命令行 linux服务器搭建ftp的6下安装vsftpd步骤及步骤 贵州工业职业技术学院求职意向期望工作地--诚聘英才 实验1Linux安装实验掌握虚拟机的使用 Linux系统tar命令的使用方法及使用命令教程 linux 开源nas系统 杰和科技NAS服务器媒体见面会在京召开 Android与Linux开发大不同 Linux系统软件安装包:自己动手,安装不用愁 车市新战局:汽车操作系统会复制智能手机的历史吗? Linux文件系统种类 如何卸载用源码包安装的软件?在线视频教程推荐 「职位」ASP.、PHP、Linux服务器集群开发 Torvalds:Linux内核开发的创新前景充满了热情 Linux文件系统的结构从终端窗口探索Linux目录树结构 卸载软件命令Linux.You linux软件开发如何入门?学习Linux步骤及学习方法介绍 14年Linux发行版的有趣历史观点 Linux中不像Windows可以直接在控制面板中卸载? 2018年波及众多Linux发行版的性能对比会更加深入 如何用源码包安装的软件?name的方法总结
嵌入式Linux操作系统学习规划+LINUX路线,主攻江苏电信天翼校园客户端故障指引及解决办法(101)英特尔GMAGMA950显卡驱动程序/WIN8/8.1电信校园网宽带用USB数据线共享给电脑无线上网国防科大开源操作系统:它只是一个吉祥的象征10个常用Linux文本查看命令及其详细说明和使用示例Linux嵌入式系统内核裁剪与定制方法的介绍情况淘宝教育热卖C语言编程开发C++程序设计零基础入门课程从CPU、内存、硬盘、显卡等这些方面安装Linux系统的最低配置Linux通过chkconfig设置开机启动服务创建的几种常见方式(技术分析)Linux多线程的使用与操作系统的区别通常rar命令由一个主命令加若干选项(可选)构成RedHatLinux中自动运行程序中的应用linux 读写文件 关于Linux内核的神秘面纱,你知道几个?使用wget实用程序的有用命令行工具的使用怎么设置linux开机项自启动?方式是怎样的?嵌入式Linux应用层与驱动层要想学习关于Linux内核的交叉编译步骤和方法:步骤、方法STM32嵌入式linux开发流程及应用程序分析-STMlinux下有哪些文件在介绍lsof命令实用用法介绍?
Shell用C语言编写的程序-Shell教程脚本 Linux中不像Windows可以直接在控制面板中卸载? 896MB如何转换为物理空间(Linux地址映射的分析) 绪论:100小时定律已成,现今将之前所学知识温顾 Ubuntu上使用的默认浏览器为Firefox,该怎么安装? 轻松压缩文件,linux命令必备! Linux用户与文件权限操作实例第1页/共15页任务要求 谷歌将LyraV2总结为“一个更好、更快更通用的语音编解码器” (干货)linux心来的一层经典 Linux操作系统的引导过程及注意事项!!!!! 详解Linux安装JDK步骤,轻松配置开发环境 Linux管理员的职业生涯中如何查看日志文件的位置 基于ARM9-Linux平台的车载GPS导航系统设计系统的应用研究 linux中添加ftp用户,并设置相应的权限,怎么上传目录? 打开U盘什么文件都看不到小编总结了 Linux自主文件权限修改 UNIX/Linux系统与XWindow协议的图形环境的区别 Asahi团队将手伸向M2芯片,支持M1Ultra的MacStudio C中可以通过#include和stidio.h,区别是什么? Linux常用的命令大全-系统管理进程与作业管理命令解释大全
标签聚合
虚拟机 linux服务器 应用 命令 文件 文件目录 linux系统 操作 内核 软件
书籍
课程
技术群
技术干货大合集↓
  • 2023年9月 / 78篇
  • 2023年8月 / 93篇
  • 2023年7月 / 94篇
  • 2023年6月 / 90篇
  • 2023年5月 / 93篇
  • 2023年4月 / 90篇
  • 2023年3月 / 129篇
  • 2023年2月 / 84篇
  • 2023年1月 / 161篇
  • 2022年12月 / 187篇
  • 2022年11月 / 76篇
友情链接:

Linux书籍 | Linux命令 | Linux系统 | RHCE红帽认证 | Linux软件 | Linux教程 | CentOS系统 | Linux内核 | Linux服务器 | Linux大神 | IT资源

COPYRIGHT © 2023 linuxgod.net ALL RIGHTS RESERVED.