ከተንኮል-አዘል ኮድ የከፋ ምንም ነገር የለም የስር መብቶችን የሚያገኝ፣ ይህም በስርዓቱ ላይ አጠቃላይ እና ፍፁም ቁጥጥር ስለሚያደርግ።
የኡቡንቱ ሊኑክስ ተጠቃሚዎች ለተጋላጭነት እና ስጋት ምርምር ዳይሬክተር በፃፉት የኩባንያው ብሎግ ፖስት ላይ እንደዘገበው የሳይበር ደህንነት ተቋም ኳሊስ እንደሚለው የኡቡንቱ ሊኑክስ ተጠቃሚዎች ለዚህ አደጋ ተጋልጠዋል። Qualys ማስታወሻ በኡቡንቱ ሊኑክስ ውስጥ በክፉ የሶፍትዌር ፓኬጆች ስር ለመድረስ የሚያስችሉ ሁለት ጉድለቶችን አግኝተዋል።
ጉድለቶቹ በኡቡንቱ ሊኑክስ ስናፕ በተባለው በሰፊው ጥቅም ላይ በሚውለው የጥቅል አስተዳዳሪ ውስጥ ይኖራሉ፣ ይህም ወደ 40 ሚሊዮን የሚጠጉ ተጠቃሚዎችን ለአደጋ ያጋልጣል፣ ሶፍትዌሩ በነባሪ በኡቡንቱ ሊኑክስ እና በሌሎች በርካታ ዋና የሊኑክስ አከፋፋዮች ላይ ስለሚላክ።ስናፕ፣ በካኖኒካል የተገነባ፣ በተከለከሉ ኮንቴይነሮች ውስጥ የሚሰሩ “snaps” የሚባሉ እራሳቸውን የያዙ መተግበሪያዎችን ማሸግ እና ማሰራጨት ያስችላል።
ከእነዚህ ኮንቴይነሮች የሚያመልጡ ማናቸውም የደህንነት ጉድለቶች እጅግ በጣም ከባድ እንደሆኑ ይቆጠራሉ። እንደዚያው፣ ሁለቱም የልዩ መብት መስፋፋት ሳንካዎች እንደ ከፍተኛ የክብደት ሥጋቶች ደረጃ ተሰጥቷቸዋል። እነዚህ ተጋላጭነቶች ዝቅተኛ መብት ያለው ተጠቃሚ ተንኮል-አዘል ኮድን እንደ ስርወ እንዲሰራ ያስችለዋል፣ ይህም በሊኑክስ ላይ ከፍተኛው የአስተዳደር መለያ ነው።
“የQualys ደህንነት ተመራማሪዎች በተናጥል ተጋላጭነቱን ማረጋገጥ፣ ብዝበዛን ማዳበር እና በነባሪ የኡቡንቱ ጭነቶች ላይ ሙሉ ስርወ መብቶችን ማግኘት ችለዋል” ሲሉ ጽፈዋል። "አደጋዎች በኃላፊነት ሪፖርት መደረጉ እና ወዲያውኑ ተስተካክለው እንዲቀነሱ ማድረጉ በጣም አስፈላጊ ነው።"
Qualys እንዲሁም በኮዱ ውስጥ ስድስት ሌሎች ተጋላጭነቶችን አግኝቷል፣ነገር ግን እነዚህ ሁሉ ዝቅተኛ ስጋት እንደሆኑ ተደርገው ይወሰዳሉ።
ታዲያ ምን ማድረግ አለቦት? ኡቡንቱ ቀድሞውንም ለሁለቱም ተጋላጭነቶች ጥገናዎችን አውጥቷል። ለCVE-2021-44731 patch እዚህ ያውርዱ እና CVE-2021-44730 እዚህ ያውርዱ።
