写点什么

CoreOS Linux Alpha 的重大漏洞已修复

  • 2016-05-29
  • 本文字数:1178 字

    阅读完需:约 4 分钟

CoreOS Linux Alpha 中的一个重大漏洞已修复,安全团队称此问题只影响该 Linux 发行版的 104x.0.0 版。

在博客文章《 CoreOS Linux Alpha 中远程 SSH 存在重大安全问题,部分用户受影响》中,CoreOS 安全团队在描述这个问题时说:

CoreOS Linux Alpha 1045.0.0 和 1047.0.0 中 PAM 子系统的一项错误配置将使得未经授权用户能够在无需密码,或不具备任何其他必要身份验证令牌的情况下访问帐户。该漏洞影响了部分运行 CoreOS Linux Alpha 的计算机。

根据该团队介绍,这个问题最初上报于 5 月 15 日 20:21,仅六小时后就发布了可用的修复程序。运行 CoreOS Linux Beta 或稳定版系统的计算机不受影响。

在 CoreOS 于 5 月 19 日发布的事件简报中,资深安全工程师Matthew Garrett 称接获通知说有人已经“发现有系统被攻陷”。据报攻击者以Operator 用户的身份登录,并“使用被攻陷的系统发送垃圾邮件”。

“最开始我们很纳闷,因为Operator 用户是被禁用的,但我们在内部也可以复现这个问题,”Garett 说:最后发现有人可以通过任何密码登录Operator 和其他核心帐户,“哪怕帐户并未设置任何密码。”

Garrett 努力将问题原因缩小至 coreos-overlay 中提交的一项内容,其中为了实现用户身份验证,需要将 Red Hat 的 System Security Services 工具与 CoreOS 进行集成。最终发现这个问题是由于基于 Gentoo 的系统和基于 Red Hat 的系统之间的一个差异导致的,前者默认会使用一个可选的pam_permit作为 PAM 配置的结尾,而后者默认会使用一个必备的pam_deny。在这种情况下,配置将最终落实为pam_permit,进而导致用户可以登录。

在解释为什么会出现这种问题时,Garrett 称尽管 Operator 用户被禁用,但该用户“依然存在于很多 UNIX 类系统中,并会出现在很多自动化 SSH 攻击脚本中,因此只要存在 Operator 用户,就可能在不具备有效密码的情况下访问,这也使得此类系统面对这样的自动化攻击更显脆弱。”

在 Hacker News 对于这个简报的讨论中, Kamil Choudhury 评论问到:“认为这种问题是小题大做,我的想法错了吗?”

Garrett回复解释说,“没有极为可信的理由”能让我们相信 Alhpa 测试版软件比其他版本更糟糕。

我认为,分布式计算的优势之一就是可以在部分部署中运行 Alpha 测试版软件,而无须担心 Bug 会拖累整个部署。这样用户就可以更容易地确信新发布的稳定版软件不会造成更大麻烦,同时这也意味着用户可以更快速用上稳定版,并避免继续运行老版本软件可能造成的安全隐患。

为此用户需要确信 Alpha 测试版并不是“包含大量安全问题”的版本,Garrett 说:“尽管我们没做到,但这一点很重要。”

查看英文原文 Major CoreOS Linux Alpha Vulnerability Patched


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-05-29 19:001330
用户头像

发布了 283 篇内容, 共 108.8 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

JVM实战—OOM的生产案例

不在线第一只蜗牛

JVM

基于LangChain手工测试用例生成工具

测试人

软件测试

AutoGen入门-让两个AI自行聊天完成任务

不在线第一只蜗牛

人工智能 AI

分享一次面试经历

王中阳Go

面试

强大数据库管理工具Navicat for SQLite for Mac 中文激活版

iMac小白

系统活动监控器iStat Menus for Mac激活版

iMac小白

Markdown文本编辑器Typora for Mac中文激活版

iMac小白

研发效能中的AI度量与度量AI

思码逸研发效能

研发效能 研发效能度量 AI辅助 思码逸

基于 Flink 进行增量批计算的探索与实践

Apache Flink

大数据 flink 批计算

MSE Nacos 2.3.2.0 发布,性能最多提升三倍,支持操作审计等安全特性

阿里巴巴云原生

阿里云 云原生

RabbitMQ 可观测性最佳实践

观测云

RabbitMQ

​未来智能携讯飞AI会议耳机亮相CES 将以“viaim”品牌进军北美市场

科技热闻

注册中心如何选型?Eureka、Zookeeper、Nacos怎么选

EquatorCoco

云原生

京东商品详情API接口指南(Python篇)

tbapi

京东API接口 京东商品详情接口

Navicat图表创建器Navicat Charts Creator for Mac激活版

iMac小白

10 分钟打造你的专属 AI 客服

阿里巴巴云原生

阿里云 云原生

小红书API接口深度解析:如何高效获取笔记详情数据并附简短代码示例

代码忍者

小红书API接口

视频音频格式转换工具Permute 3 for Mac 中文激活版

iMac小白

京东商品评论数据接口(JD.item_review)京东 API 接口指南

联讯数据

速卖通API接口深度解析:商品详情获取与关键词搜索商品实战指南

代码忍者

速卖通API接口

Java程序员怎么才能从容应对当下面试?

了不起的程序猿

后端 架构师 java程序员 java面试

数据服务 | 新一代财务共享从流程优化到数据赋能的转型之旅

用友智能财务

业务 财务 财会

亚马逊API接口深度解析:商品详情获取与关键词搜索商品实战指南

代码忍者

亚马逊商品详情API

什么是AI Agent?——最简单的解释

TechubNews

#人工智能

场景题:假设有40亿QQ号,但只有1G内存,如何实现去重?

快乐非自愿限量之名

Python 面试

承载AI的云南花卉,正在盛开

脑极体

AI

枫清科技高雪峰: Data-Centric新范式开启,知识引擎+大模型双轮驱动企业智能化

Fabarta

#人工智能 #大模型 生成式 AI 应用 企业 AI 应用 大模型应用

焱融全闪 F9000X 性能再创新高,全面释放大规模 AI 计算效能

焱融科技

人工智能 大模型 智算中心 全闪存储

年末福利:距离 KaiwuDB 官方认证,仅差一步之遥!

KaiwuDB

数据库认证

深入解析 Spring AI 系列:项目结构一览

快乐非自愿限量之名

spring AI

体育直播比分网搭建需要注意哪些问题

熊猫比分大卫

体育赛况资讯直播app开发 体育直播网源码 体育直播源码

CoreOS Linux Alpha的重大漏洞已修复_Linux_James Chesters_InfoQ精选文章