Kevin Backhouse z GitHubu našel v gdm3 v Ubuntu 20.10, 20.04 a 18.04 zranitelnost CVE-2020–16125, která umožňuje běžnému uživateli vytvořit administrátorský účet. Problém spočívá v gdm3, který se bez běžícího AccountsService domnívá, že jde o první spuštění Ubuntu a nabídne vytvoření administrátorského účtu.
Normální uživatel sice nemůže AccountsService zastavit, ale dvě zranitelnosti AccountsService CVE-2020–16127 a CVE-2020–16126 to umožňují. Přitom první z těchto zranitelností je právě jen v Ubuntu. Kevin chybu Ubuntu nahlásil již 17. října a nyní již jsou balíčky gdm3 opravené.
(zdroj: bleepingcomputer)
ČLÁNKY DO MAILU