一名系统管理员Andrew Ayer发现只要输入一串48字元的命令,就能使Linux的中央化系统与设定管理程式systemd当掉,可能导致本地端使用者针对重要的系统元件执行阻断服务攻击,systemd维护团队已修复该臭虫。
一名系统管理员Andrew Ayer近日在Linux系统中发现一个臭虫,只要输入一行仅仅48个字元的命令,就能让Linux的中央化系统与设定管理程式 systemd当掉。
systemd为Linux启动程序的重要元件,支援众多的Linux版本,Ayer说,只要输入简短的命令“NOTIFY_S OCKET=/run/systemd/notify systemd-notify “””,PID 1就会在暂停的系统呼叫中停摆,由于inetd-style服务不再接受任何的连结,因此也无法启动或停止守护进程(daemons)。此一臭虫将造成使用者不能干净地重启系统,便会让系统变得不稳定。
Ayer认为这是个严重的系统设计缺陷,将允许任何本地端使用者针对重要的系统元件执行阻断服务攻击,还说systemd的问题不只是这个臭虫,批评systemd开发人员根本不了解软体设计必须要尽量减少臭虫及相关风险的重要性。
systemd共同维护人David Timothy Strauss出面反击了Ayer的说法,指出Ayer只是趁机发脾气,以一个很小的**问题来批评systemd,相关漏洞必须于本地端执行,仅可造成服务阻断,相较于资讯揭露或权限扩张而言只是个*低等级的**风险。
即便如此,systemd维护团队仍然很快就修补了该漏洞。
公安机关备案号:
