रूट विशेषाधिकार प्राप्त करने वाले दुर्भावनापूर्ण कोड से बदतर कुछ भी नहीं है, क्योंकि यह इसे सिस्टम पर पूर्ण और पूर्ण नियंत्रण देता है।
साइबर सुरक्षा फर्म क्वालिस के अनुसार, उबंटू लिनक्स उपयोगकर्ताओं को बस इतना ही जोखिम है, जैसा कि उनके निदेशक ऑफ वल्नरेबिलिटी एंड थ्रेट रिसर्च द्वारा लिखे गए एक कंपनी ब्लॉग पोस्ट में बताया गया है। क्वालिस ने नोट किया कि उन्होंने उबंटू लिनक्स के भीतर दो दोषों की खोज की है जो नापाक सॉफ्टवेयर पैकेजों द्वारा रूट एक्सेस की अनुमति देंगे।
खामियां उबंटू लिनक्स के लिए व्यापक रूप से उपयोग किए जाने वाले पैकेज मैनेजर में हैं, जिसे स्नैप कहा जाता है, जो लगभग 40 मिलियन उपयोगकर्ताओं को जोखिम में डालता है, क्योंकि सॉफ्टवेयर डिफ़ॉल्ट रूप से उबंटू लिनक्स और अन्य प्रमुख लिनक्स वितरकों की एक विस्तृत श्रृंखला है।स्नैप, कैनोनिकल द्वारा विकसित, प्रतिबंधित कंटेनरों में चलने वाले "स्नैप" नामक स्व-निहित अनुप्रयोगों की पैकेजिंग और वितरण की अनुमति देता है।
इन कंटेनरों से बचने वाली कोई भी सुरक्षा खामी बेहद गंभीर मानी जाती है। जैसे, दोनों विशेषाधिकार वृद्धि बग को उच्च गंभीरता के खतरों के रूप में दर्जा दिया गया है। ये कमजोरियां कम-विशेषाधिकार प्राप्त उपयोगकर्ता को दुर्भावनापूर्ण कोड को रूट के रूप में निष्पादित करने की अनुमति देती हैं, जो कि लिनक्स पर सर्वोच्च प्रशासनिक खाता है।
“क्वालीज़ सुरक्षा शोधकर्ता स्वतंत्र रूप से भेद्यता को सत्यापित करने, एक शोषण विकसित करने और उबंटू के डिफ़ॉल्ट इंस्टॉलेशन पर पूर्ण रूट विशेषाधिकार प्राप्त करने में सक्षम हैं,” उन्होंने लिखा। "यह महत्वपूर्ण है कि कमजोरियों को जिम्मेदारी से सूचित किया जाता है और उन्हें तुरंत सुधारा और कम किया जाता है।"
Qualys ने कोड में छह अन्य कमजोरियां भी पाईं, लेकिन इन सभी को कम जोखिम माना जाता है।
तो आपको क्या करना चाहिए? उबंटू ने पहले ही दोनों कमजोरियों के लिए पैच जारी कर दिए हैं। सीवीई-2021-44731 यहां और सीवीई-2021-44730 के लिए यहां पैच डाउनलोड करें।
