写点什么

CoreOS Linux Alpha 的重大漏洞已修复

  • 2016-05-29
  • 本文字数:1178 字

    阅读完需:约 4 分钟

CoreOS Linux Alpha 中的一个重大漏洞已修复,安全团队称此问题只影响该 Linux 发行版的 104x.0.0 版。

在博客文章《 CoreOS Linux Alpha 中远程 SSH 存在重大安全问题,部分用户受影响》中,CoreOS 安全团队在描述这个问题时说:

CoreOS Linux Alpha 1045.0.0 和 1047.0.0 中 PAM 子系统的一项错误配置将使得未经授权用户能够在无需密码,或不具备任何其他必要身份验证令牌的情况下访问帐户。该漏洞影响了部分运行 CoreOS Linux Alpha 的计算机。

根据该团队介绍,这个问题最初上报于 5 月 15 日 20:21,仅六小时后就发布了可用的修复程序。运行 CoreOS Linux Beta 或稳定版系统的计算机不受影响。

在 CoreOS 于 5 月 19 日发布的事件简报中,资深安全工程师Matthew Garrett 称接获通知说有人已经“发现有系统被攻陷”。据报攻击者以Operator 用户的身份登录,并“使用被攻陷的系统发送垃圾邮件”。

“最开始我们很纳闷,因为Operator 用户是被禁用的,但我们在内部也可以复现这个问题,”Garett 说:最后发现有人可以通过任何密码登录Operator 和其他核心帐户,“哪怕帐户并未设置任何密码。”

Garrett 努力将问题原因缩小至 coreos-overlay 中提交的一项内容,其中为了实现用户身份验证,需要将 Red Hat 的 System Security Services 工具与 CoreOS 进行集成。最终发现这个问题是由于基于 Gentoo 的系统和基于 Red Hat 的系统之间的一个差异导致的,前者默认会使用一个可选的pam_permit作为 PAM 配置的结尾,而后者默认会使用一个必备的pam_deny。在这种情况下,配置将最终落实为pam_permit,进而导致用户可以登录。

在解释为什么会出现这种问题时,Garrett 称尽管 Operator 用户被禁用,但该用户“依然存在于很多 UNIX 类系统中,并会出现在很多自动化 SSH 攻击脚本中,因此只要存在 Operator 用户,就可能在不具备有效密码的情况下访问,这也使得此类系统面对这样的自动化攻击更显脆弱。”

在 Hacker News 对于这个简报的讨论中, Kamil Choudhury 评论问到:“认为这种问题是小题大做,我的想法错了吗?”

Garrett回复解释说,“没有极为可信的理由”能让我们相信 Alhpa 测试版软件比其他版本更糟糕。

我认为,分布式计算的优势之一就是可以在部分部署中运行 Alpha 测试版软件,而无须担心 Bug 会拖累整个部署。这样用户就可以更容易地确信新发布的稳定版软件不会造成更大麻烦,同时这也意味着用户可以更快速用上稳定版,并避免继续运行老版本软件可能造成的安全隐患。

为此用户需要确信 Alpha 测试版并不是“包含大量安全问题”的版本,Garrett 说:“尽管我们没做到,但这一点很重要。”

查看英文原文 Major CoreOS Linux Alpha Vulnerability Patched


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-05-29 19:001430
用户头像

发布了 283 篇内容, 共 112.1 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

架构中实时引擎与离线渲染的主要优势

3DCAT实时渲染

Unity 渲染 实时渲染 AEC

不止于大,华为云对象存储服务OBS的全能一面

清欢科技

打碎软件应用,在产业互联场景中串联—钉钉7.0关注企业间高效协同

B Impact

华为云对象储存OBS,为企业提供优秀且安全的数据储存环境

清欢科技

什么是云仿真,云仿真平台有哪些好处

3DCAT实时渲染

虚拟仿真 实时云渲染 云仿真 三维仿真

中国电信发布《天翼云安全白皮书》 打造高质量云网安全保障体系

极客天地

阿根廷夺冠梅西加冕,球场外视频平台角逐世界杯

易观分析

视频 足球 卡塔尔世界杯

即时通讯软件WorkPlus助力政企应用快速移动化

BeeWorks

华为云对象存储,助力企业驶入“数据快车道”

清欢科技

云渲染和自己的电脑渲染哪个好?

Renderbus瑞云渲染农场

云渲染

FL STUDIO2023最新版本号21新变化

茶色酒

FL STUDIO20.9 FL Studio FL Studio 21

推动企业稳定发现,华为云大数据助力能源企业纾困

秃头也爱科技

Android程序签名打包

芯动大师

Android Studio 打包签名 签名的含义

2022“易观之星”奖项公布,聚焦数字经济,助力数智创新

易观分析

金融 易观 颁奖

敏捷技术实践之重构

华为云PaaS服务小智

存储数据如何更省钱?华为云告诉你!

清欢科技

华为云OBS对象存储:企业“上云”的好帮手

清欢科技

大数据一站式服务,华为云大数据BI驱动企业业务线增长

秃头也爱科技

提升企业决策能力,华为云用大数据BI助力企业腾飞

秃头也爱科技

软硬协同造就极致性能 天翼云紫金DPU打造为云而生的全新一代云计算体系结构

极客天地

2022-12-30:某天小美进入了一个迷宫探险,根据地图所示,这个迷宫里有无数个房间 序号分别为1、2、3、...入口房间的序号为1 任意序号为正整数x的房间,都与序号 2*x 和 2*x + 1

福大大架构师每日一题

算法 rust 福大大

华为云对象存储OBS,助力企业降本增效

清欢科技

解决“双十一”电商行业数据存储难题,华为云OBS值得期待

清欢科技

企业内部使用的即时通讯软件有哪些?

BeeWorks

还在为数据存储而烦恼?不妨进来看看华为云对象存储服务OBS

清欢科技

海量、安全、高可靠的华为云对象存储服务OBS,助力企业数据存储降本提效

清欢科技

RayLink测评 | 完全免费,功能超越同类付费远程控制软件!!

RayLink远程工具

远程控制软件 远程办公软件 远控软件

BI-数据可视化 | 年度干货合集

搞大屏的小北

数据可视化工具 BI 分析工具 BI分析 市场分析

【冲破信息孤岛】华为云大数据BI,助力金融行业进行数字化转型

秃头也爱科技

HTTP的四种认证方式

穿过生命散发芬芳

HTTP 12月月更

跨浏览器测试策略

FunTester

CoreOS Linux Alpha的重大漏洞已修复_Linux_James Chesters_InfoQ精选文章