พบช่องโหว่ยกระดับสิทธิ์กระทบ Linux หลายดิสโทร แนะผู้ใช้เร่งอัปเดต

Qualys ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เปิดเผยเรื่องราวของช่องโหว่ยกระดับสิทธิ์ใน Linux ซึ่งคาดว่าอยู่ Linux kernel มาตั้งแต่ปี 2014 แล้ว

CVE-2021-33909 หรือ Sequoia เกิดขึ้นในระดับ Kernel Filesystem ที่ทำหน้าที่เกี่ยวกับการจัดการสิทธิ์ โดยไอเดียคือหากผู้ใช้ทั่วไปทำการ สร้าง mount หรือลบ โครงสร้างของไดเรกทอรีที่มี path ยาวเกิน 1GB จะส่งผลให้เกิด (out-of-bound) จนนำไปสู่การยกระดับสิทธิ์เป็น root ได้ โดยจากการทดสอบพบว่า Linux ดิสโทรอย่าง Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 และ Fedora 34 Workstation ต่างได้รับผลกระทบจากบั๊กดังกล่าว ซึ่งผู้เชี่ยวชาญคาดว่า Linux Kernel เวอร์ชันตั้งแต่ 3.16 มีช่องโหว่ อย่างไรก็ดีทีมงาน Linux ทราบเรื่องแพตช์ออกมาแล้ว ผู้สนใจสามารถติดตามวีดีโอสาธิตได้ที่

นอกจากนั้น Qualys ยังเปิดเผยถึง CVE-2021-33910 ซึ่งเป็นผลกระทบในด้าน DoS ที่เกิดขึ้นกับ systemd โดยเพียงผู้ใช้งานสามารถ Mouth ตัว Filesystem ที่มี Path ยาวๆก็สามารถทำให้ systemd  เกิดการทำงานผิดพลาดได้

ที่มา : https://www.techworm.net/2021/07/linux-kernel-bug-root-access.html และ https://www.bleepingcomputer.com/news/security/new-linux-kernel-bug-lets-you-get-root-on-most-modern-distros/