• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    Linux神奇漏洞:长按回车键70秒 即可轻松拿到Root权限

    一般来说获取系统Root权限是很困难的,尤其是加密系统中,但西班牙安全研究员Hector Marco、Ismael Ripoll发现,Linux系统下只需按住回车键70秒钟,就能轻松绕过系统认证,拿到Root权限,进而远程控制经过加密的Linux系统。

    这个问题来自Linux标准磁盘加密程序Cryptsetup的一个漏洞(CVE-2016-4484),它处理密码输入错误的时候,会允许用户多次重试输入,直到错误超过93次,程序就会给用户一个带Root权限的shell(busybox)。

    也就是说,如果你重复93次输错密码,或者持续按回车键大概70秒,就能够获得root initramfs (initial RAM filesystem) shell。

    之后,你就可以复制、修改或者破坏整个硬盘,也可以使用网络传输数据。加密磁盘内容不会泄露,但是攻击者可以提升权限、盗取信息、发起DoS攻击等等。

    关键是,这个漏洞攻击的成功率非常高,因为它不依赖特定系统或者配置。在图书馆、ATM机、机场、实验室等场景下,它特别有用,因为在这些场景下开机的过程受到加密保护,而对外交互只有键盘/鼠标。

    如果你使用了基于Linux的云服务,还可以在没有物理接触的情况下远程处罚漏洞。

    这个漏洞影响范围很广,覆盖几乎所有的Linux发行版,包括Debian、Ubuntu、Fedora、Red Hat Enterprise Linux (RHEL)、SUSE,免疫的则有Arch Linux、Solus。

    如果你的系统存在此漏洞,官方还没有发布补丁,可以自行修改cryptroot文件:

    # sed -i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="panic=5 /' /etc/default/grub
    # grub-install

    上一篇:Linux做代理服务器实现步骤详解
    下一篇:Linux下GitLab如何安装部署
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    Linux神奇漏洞:长按回车键70秒 即可轻松拿到Root权限 Linux,神奇,漏洞,长按,回车,