我的天!Ubuntu漏洞居然讓“訪客”怎麼都行!
過於通融大方的Linux發行版無法執行訪問策略。
最新版本的Ubuntu Linux發行版居然並沒有限制訪客帳戶(guest account)的系統訪問權。
這是開發人員泰勒·希克斯(Tyler Hicks)得出的結論,近日他彙報了一個安全漏洞,該漏洞讓訪客使用者可以為所欲為,而原本系統應該限制訪客的系統訪問權,只可以訪問特定的區域。
理想情況下,訪客使用者登入進入到Ubuntu系統後,應當被限制在一個小小的臨時環境――現在他們卻反而被當作平常使用者來對待,可以像平常使用者那樣來訪問檔案系統。Ubuntu的預設設定讓使用者可以讀取其他本地使用者的檔案――據漏洞報告聲稱,不應該允許訪客這麼做,但結果就是這樣子。
具體來說,Canonical漏洞報告(https://bugs.launchpad.net/ubuntu/+source/lightdm/+bug/1663157)解釋,訪客會話通過LightDM介面啟動後,它們通常是在一個特殊的AppArmor配置檔案下面執行,這個配置檔案阻止使用者訪問檔案系統的大部分內容。
然而如果系統是Ubuntu 16.10、17.04和Ubuntu Artful Aardvark,這個策略並沒有得到執行,訪客會話而是被認為“不受限制的”。你只要以訪客的身份登入,開啟終端,並輸入這行命令:$ cat /proc/self/attr/current,就可以證實這一點。
當然,可以認為這個漏洞是安全漏洞,因為它讓可以本地訪問Ubuntu機器的任何人都可以訪問這臺主機系統上的任何敏感檔案和資料。這個安全漏洞已被賦予了CVE-2017-8900的編號。
為了防範攻擊,所有三個Ubuntu版本中的訪客訪問權已被禁止,直到全面的修復補丁開發出來。希克斯特別指出,訪問帳戶特性可以手動重新啟用,不過那當然會重新暴露這個安全漏洞。
雖然談不是是重大的漏洞――你需要本地訪問系統才稱得上是訪客使用者,但這個漏洞讓Ubuntu頗有點尷尬。我們完全可以想象:要是Windows或macOS 中發現了類似的漏洞,外界難免會指責和嘲笑,所以Canonical忍著點,趕緊打上補丁吧。