乱测 硬件评测基地 luance 乱测网 乱七八糟的硬件测试

站内搜索
查看: 2427|回复: 0

信息安全公司揭露Linux 「Grinch」漏洞。红帽打脸:连bug都称不上!

[复制链接]

超级版主

测试头衔

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

注册时间
2014-8-17
发表于 2014-12-22 22:18:03 | 显示全部楼层
         信息安全公司Alert Logic公布了一个名为Grinch(圣诞怪客)的Linux漏洞,宣称影响包括移动版在内的所有Linux系统。不过,红帽(Red Hat)表示,这并不是一个安全漏洞,甚至连缺陷bug都称不上。

根据Alert Logic的说明,此Grinch漏洞存在于新的授权系统中,该系统允许使用者通过wheel群组来扩张权限。当建立一个Linux系统时,预设的使用者会被分配到wheel群组以在系统内执行管理级任务。新的Linux生态系统尝试导人新的授权方法,将允许黑客利用管理操作系统权限的Polkit与PackageKit工具来安装恶意软件。

Alert Logic还说此漏洞会影响所有的Linux平台与任何被纳入wheel群组的帐号,但只要修改Polkit规则或使用者的群组权限就能解决此问题。

不过,红帽并不认为这是个安全漏洞。资深的Linux安全工程师、也是红帽云端安全的技术管理者Kurt Seifried表示,他仔细看了这篇文章后认为,文章所描述的只是可安装软件的管理员权限,是个合理的行为,而且原本就不应该以管理员权限来执行网络程序,只能假设这篇文章所指的是没有安装好或从未更新的控制面板。

红帽也为此发表声明,说明PackageKit的控制台客户端程序原本就是要让wheel群组的使用者能够安装各种软件,亦允许本地用户不必输入密码就能执行相关功能。Alert Logic所指称的问题只是PackageKit的正常行为,并不是个安全问题,甚至都称不上bug。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

乱测 硬件评测基地 luance 乱测网 乱七八糟的硬件测试

手机版|小黑屋|乱测 ( 桂ICP备13007413号-2 桂公网安备 45142302000013号 )|

GMT+8, 2018-11-20 19:27 , Processed in 0.040222 second(s), 15 queries , Memcache On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表