标签: Ubuntu

Ubuntu Launchpad 被爆安全漏洞:卸硬盘能绕过锁屏界面

6月中旬,Ubuntu Launchpad被爆存在安全BUG;任意用户只要卸下硬盘就能绕过锁屏界面。该漏洞确认影响Ubuntu 16.04.4,但不确认其他Ubuntu版本是否受到影响。整个攻击流程基本如下:用户启动进入Linux之后,打开程序和文件,然后机器暂停并进入低功耗模式后,写入设备状态到内存中。 一旦此时攻击者移除硬盘并唤醒系统,虽然会调到锁屏界面,但是用户能够输入任意密码进行访问。虽然有时会出现拒绝访问的情况,但是只要快速按下物理电源关键就能获取访问,而且如果没有跳出锁屏界面而是黑屏,可以尝试之前的步骤重新进入。 Canonical的安全工程师Marc Deslauriers表示:“我们不大可能会修复这个问题。物理访问意味着攻击者能够简单的访问硬盘,或者替换密码并解锁设备。” 此外也有用户透露屏保软件能够解决这个问题:“我相信屏保能够解决这个意外,即使底层库有问题也能阻止未经授权的访问。”   稿源:cnBeta,封面源自网络;

Linux 系统的 beep 包中存在竞争条件漏洞,可被黑客利用探测机密文件

Linux 发行系统 Debian 和 Ubuntu 中预装的 beep 包存在竞争条件漏洞,黑客可利用这个漏洞探测到计算机中的文件(包括 root 用户的机密文件)。这个漏洞标识为 CVE-2018-0492,不会实造成远程攻击,但是这是一个特权提升(EoP)漏洞,可被攻击者利用获取到 root 级别的访问权限,完全访问系统并发起恶意攻击。 如果黑客利用这个 beep 包获取了特定文件,就能进一步采取措施,将 beep 包作为启动平台,执行其他命令。目前,新版的 Debian 和 Ubuntu 中已经修复了这个漏洞。 稿源:freebuf,封面源自网络;

GNOME Shell 内存泄露问题正在修复中,原因竟是忘记进行垃圾回收

GNOME Shell 被发现存在内存泄露的问题,现在官方开发团队已确认导致这个问题的原因 —— 忘记进行垃圾回收…… GNOME 称目前正在修复该问题。“触发垃圾回收能够将 GNOME Shell 使用的内存量减少到正常水平”  GNOME 开发者花了大约一周的时间来定位问题的根源,不过内存泄漏的原因(看起来)已经确定。 GNOME 开发者 Georges Basile Stavracas 在仔细研究他在 GitLab 上关于 bug 的测试、检查和调查结果的过程中,似乎发现了导致这个 bug 的原因,“……有些问题伴随着垃圾回收器一起出现。” Georges Basile Stavracas 表示,在他放弃寻找内存泄漏原因的所有希望之后,发现了一个非常有趣的行为,并且可以重现这个过程。他推断只有一系列相互依赖的对象的根对象被回收后,才能最终确定它的子对象/依赖对象会被标记为 GC 状态。 通过运行 GJS(GNOME 的 JavaScript 绑定) 的垃圾回收器,Stavracas 称能够减少大约 250MB 的内存使用量(GNOME Shell 在启动时的消耗)。 不过目前关于这个 bug 的补丁尚未发布,依旧处于修复中的状态。所以不能确定下个月发布的 18.04 LTS 是否包含这个 bug 的修复,如果没有,只能期待后续的更新。 而 Ubuntu 17.10 和 Ubuntu 18.04 LTS 在 Launchpad 上关于 GNOME Shell 的内存泄露问题已被标记为“关键”和“高”优先级级别,这表明 Ubuntu 对这个问题足够关心,将会及时提供修补建议。 稿源:cnBeta,封面源自网络  

因 CPU 漏洞 Canonical 宣布推迟发布 Ubuntu 16.04.4 LTS

由于近期曝光的 Spectre 和 Meltdown 安全漏洞,Canonical 于今天宣布将推迟即将上线的 Ubuntu 16.04.4 LTS 维护版本更新。该版本原定于 2018 年 2 月 15 日上线,是 Xenial Xerus 系统 5 个预设版本更新中的第 4 个,将会包含最新的 Linux Kernel 内核以及基于 Ubuntu 17.10(Artful Aardvark)的图形堆栈。 本月早些时候两大 CPU 漏洞曝光之后,Canonical 积极为尚处于支持阶段的 Ubuntu 版本发布了修复补丁,但是整合这些安全漏洞并不是这么轻松简单的,因此导致了 Ubuntu 16.04.4 LTS 版本的发布推迟,但是目前并未明确公布公布具体的发布日期。 稿源:cnBeta.com,封面源自网络

Intel 管理引擎新漏洞,System 76 为其发布新固件

System76 是一家定制 Ubuntu 操作系统的电脑生产厂商,其定制产品有笔电、台式机和服务器。近日,System76 为最新的笔记本电脑推出固件更新,将完全禁用英特尔管理引擎。原因是它们发现了一个严重的安全漏洞,允许攻击者通过本地访问执行任意代码。 Systeme76 发布声明称,该公司计划从现在开始发布更新,禁用 Intel ME,涉及第六、第七和第八代酷睿处理器,目前联想、惠普、技嘉、微星等各大 PC 厂商均已采取了相应的措施。System76 还指出,英特尔 ME 不为 System76 笔记本提供该项功能,因此可以安全地禁用。 固件更新将仅适用于运行 Ubuntu 16.04 及以上版本的操作系统或者是使用 System76 驱动程序的相关操作系统。但是该公司表示正在开发一个命令行工具,该工具可运行在其他基于 GNU / Linux 的操作系统的笔记本电脑上,同时晚些时候将发布其台式电脑的更新。 稿源:新浪科技,封面源自网络;