Qualys v úterý zveřejnil detaily dvou kritických zranitelností Linuxu. Jde o CVE-2025–6018 v konfiguraci PAM (openSUSE Leap 15 a SUSE Linux Enterprise 15. Tato chyba umožňuje existujícímu uživateli připojenému například přes SSH získat vyšší práva „allow_active“ v kontextu polkitu. Tato práva má mít jen fyzicky přítomný uživatel.
Druhá chyba CVE-2025–6019 je v libblockdev a je zneužitelná přes démon udisks, který najdete ve valné většině distribucí. Tato chyba umožňuje uživateli s právy „allow_active“ získat práva roota. Tato chyba byla potvrzena na Ubuntu, Debianu, Fedoře, Gentoo a openSUSE Leap 15. Chyba sice vyžaduje lokálního fyzicky přítomného uživatele, ale u SUSE je možné ji zřetězit s předchozí chybou. Proto je hodnocena jako kritická a uživatelům je doporučeno neprodleně aktualizovat.
(zdroj: bleepingcomputer)
ČLÁNKY DO MAILU