Hlavní navigace

Zranitelnost v Ubuntu 20.10, 20.04 a 18.04 umožňuje eskalaci práv

Sdílet

Jan Fikar 13. 11. 2020
Ubuntu 20.10 Groovy Gorilla

Kevin Backhouse z GitHubu našel v gdm3 v Ubuntu 20.10, 20.04 a 18.04 zranitelnost CVE-2020–16125, která umožňuje běžnému uživateli vytvořit administrátorský účet. Problém spočívá v gdm3, který se bez běžícího AccountsService domnívá, že jde o první spuštění Ubuntu a nabídne vytvoření administrátorského účtu.

Normální uživatel sice nemůže AccountsService zastavit, ale dvě zranitelnosti AccountsService CVE-2020–16127 a CVE-2020–16126 to umožňují. Přitom první z těchto zranitelností je právě jen v Ubuntu. Kevin chybu Ubuntu nahlásil již 17. října a nyní již jsou balíčky gdm3 opravené.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?
  • 14. 11. 2020 0:07

    klokan

    Tohle mi přijde jako zranitelnost GNOME, i když se projevovala v Ubuntu. To, že když náhodou neběží AccountService, tak automaticky předpokládám první boot a prostě si ausgerechnet vytvořím admin účet, je dost zvrácená logika. Logičtější by bylo, kdyby se na první boot instaloval speciální helper na vytvoření účtu, který se po provedení smaže a místo něho se instaluje normální gdm, které, když nenajde AccountService, prostě nahlásí chybu.