Novou kritickou zranitelnost linuxových systémů objevil a nahlásil Simone Margaritelli, odborník na počítačovou bezpečnost s přezdívkou EvilSocket. Společnosti Canonical a Red Hat už problém potvrdily a ohodnotily jeho nebezpečnost na 9,9 z 10 na stupnici závažnosti CVSS. Doplněno: Jde o řadu bezpečnostních chyb v tiskovém subsystému CUPS.
Jde zřejmě o zranitelnost RCE (Remote Code Execution), která se týká všech linuxových systémů a pravděpodobně i dalších platforem. Nebylo ovšem zveřejněno, v jaké komponentě se problém nachází.
Zranitelnost umožňuje vzdálenému útočníkovi spustit na zranitelném systému libovolný kód bez nutnosti autentizace. Zranitelnost je prý velmi nebezpečná, navíc pro ni dosud není k dispozici funkční oprava.
Objevitel zatím nechce zveřejňovat žádné technické detaily, protože chce dát tvůrcům distribucí čas na opravu. Článek o tom bude zábavný, nejen kvůli technickým detailům, nejen kvůli tomu, že chyba tam byla více než deset let, ale jako šílený příklad toho, jak nezacházet se zveřejňováním informací,
píše Margaritelli, který si stěžuje na špatnou spolupráci s některými vývojáři. Rozhodl se proto zveřejnění urychlit a už během dvou týdnů vypustí první detaily.
(Upozornil Pavel Šnajdr.)
ČLÁNKY DO MAILU