写点什么

CoreOS Linux Alpha 的重大漏洞已修复

  • 2016-05-29
  • 本文字数:1178 字

    阅读完需:约 4 分钟

CoreOS Linux Alpha 中的一个重大漏洞已修复,安全团队称此问题只影响该 Linux 发行版的 104x.0.0 版。

在博客文章《 CoreOS Linux Alpha 中远程 SSH 存在重大安全问题,部分用户受影响》中,CoreOS 安全团队在描述这个问题时说:

CoreOS Linux Alpha 1045.0.0 和 1047.0.0 中 PAM 子系统的一项错误配置将使得未经授权用户能够在无需密码,或不具备任何其他必要身份验证令牌的情况下访问帐户。该漏洞影响了部分运行 CoreOS Linux Alpha 的计算机。

根据该团队介绍,这个问题最初上报于 5 月 15 日 20:21,仅六小时后就发布了可用的修复程序。运行 CoreOS Linux Beta 或稳定版系统的计算机不受影响。

在 CoreOS 于 5 月 19 日发布的事件简报中,资深安全工程师Matthew Garrett 称接获通知说有人已经“发现有系统被攻陷”。据报攻击者以Operator 用户的身份登录,并“使用被攻陷的系统发送垃圾邮件”。

“最开始我们很纳闷,因为Operator 用户是被禁用的,但我们在内部也可以复现这个问题,”Garett 说:最后发现有人可以通过任何密码登录Operator 和其他核心帐户,“哪怕帐户并未设置任何密码。”

Garrett 努力将问题原因缩小至 coreos-overlay 中提交的一项内容,其中为了实现用户身份验证,需要将 Red Hat 的 System Security Services 工具与 CoreOS 进行集成。最终发现这个问题是由于基于 Gentoo 的系统和基于 Red Hat 的系统之间的一个差异导致的,前者默认会使用一个可选的pam_permit作为 PAM 配置的结尾,而后者默认会使用一个必备的pam_deny。在这种情况下,配置将最终落实为pam_permit,进而导致用户可以登录。

在解释为什么会出现这种问题时,Garrett 称尽管 Operator 用户被禁用,但该用户“依然存在于很多 UNIX 类系统中,并会出现在很多自动化 SSH 攻击脚本中,因此只要存在 Operator 用户,就可能在不具备有效密码的情况下访问,这也使得此类系统面对这样的自动化攻击更显脆弱。”

在 Hacker News 对于这个简报的讨论中, Kamil Choudhury 评论问到:“认为这种问题是小题大做,我的想法错了吗?”

Garrett回复解释说,“没有极为可信的理由”能让我们相信 Alhpa 测试版软件比其他版本更糟糕。

我认为,分布式计算的优势之一就是可以在部分部署中运行 Alpha 测试版软件,而无须担心 Bug 会拖累整个部署。这样用户就可以更容易地确信新发布的稳定版软件不会造成更大麻烦,同时这也意味着用户可以更快速用上稳定版,并避免继续运行老版本软件可能造成的安全隐患。

为此用户需要确信 Alpha 测试版并不是“包含大量安全问题”的版本,Garrett 说:“尽管我们没做到,但这一点很重要。”

查看英文原文 Major CoreOS Linux Alpha Vulnerability Patched


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-05-29 19:001275
用户头像

发布了 283 篇内容, 共 106.6 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

DeFi浪潮中的领航者:探索DeFi市场最受欢迎的创新项目

dappweb

ao

预计2024年将是加密世界

dappweb

ao

数字文盲:我们如何在数字时代中避免被边缘化?

dappweb

ao

边缘计算的崛起

dappweb

边缘计算 ao

《区块链:金融服务的未来之路,去中心化引领变革》

dappweb

区块链 ao

蓝易云 - 租用香港主机也有讲究?

百度搜索:蓝易云

服务器 云主机 云服务器 服务器租用 高防服务器

区块链技术在金融领域的七大应用

dappweb

区块链 ao

蓝易云 - nginx教程:alias和root的区别

百度搜索:蓝易云

nginx 云计算 运维 云服务器 alias

AI与区块连接技术的联系

dappweb

ao

数字货币

dappweb

ao

Shell 内建命令:Shell 的内在魔力

左诗右码

Shell

LDO的原理及测试方法

梦笔生花

芯片 LDO 电源

百度安全X盈科全球数据合规服务中心:推进数据安全及合规智能化创新领域深化合作

百度安全

蓝易云 - python教程:可变参数*args 和 **kwargs详解

百度搜索:蓝易云

Python 云计算 运维 云服务器 args

蓝易云 - python教程:转义字符

百度搜索:蓝易云

Python 云计算 运维 云服务器 字符

图形工作站的应用,相比传统工作站优势有哪些?

青椒云云电脑

图形工作站 移动图形工作站

周末见!RTE Open Day@AGI Playground 游园攻略

声网

加密货币与普通人的关系

dappweb

加密货币 ao

Shell 重定向:控制数据流向的艺术

左诗右码

Shell

华为云开源邀您共赴华为开发者大会2024,精彩议题抢先看

华为云开源

华为云开源 华为开发者大会2024

前端必备的几个vscode插件

大师兄

前端 vscode vscode插件 前端常用插件

AI也懂区块链接

dappweb

ao

PikiwiDB(Pika) 混合存储之批量查询

apache/dubbo-go

redis Pika

云桌面系统的运用优势有哪些?

青椒云云电脑

云桌面 云桌面系统 虚拟云桌面系统

云桌面GPU技术方案

青椒云云电脑

云桌面 云桌面方案

加密货币未来趋势展望

dappweb

ao

华为云618营销季年中即将来袭,大额服务权益等你来享!

YG科技

使用Playwright进行键盘操作的详细指南

霍格沃兹测试开发学社

区块链技术:揭秘五大颠覆性应用场景

dappweb

区块链 ao

区块链市场新动向:跨链、DeFi、NFT引领未来趋势

dappweb

ao

区块链技术:产业转型的革命性力量

dappweb

区块链 ao

CoreOS Linux Alpha的重大漏洞已修复_Linux_James Chesters_InfoQ精选文章