一般来说获取系统Root权限是很困难的,尤其是加密系统中,但西班牙安全研究员Hector Marco、Ismael Ripoll发现,Linux系统下只需按住回车键70秒钟,就能轻松绕过系统认证,拿到Root权限,进而远程控制经过加密的Linux系统。
这个问题来自Linux标准磁盘加密程序Cryptsetup的一个漏洞(CVE-2016-4484),它处理密码输入错误的时候,会允许用户多次重试输入,直到错误超过93次,程序就会给用户一个带Root权限的shell(busybox)。
也就是说,如果你重复93次输错密码,或者持续按回车键大概70秒,就能够获得root initramfs (initial RAM filesystem) shell。
之后,你就可以复制、修改或者破坏整个硬盘,也可以使用网络传输数据。加密磁盘内容不会泄露,但是攻击者可以提升权限、盗取信息、发起DoS攻击等等。
关键是,这个漏洞攻击的成功率非常高,因为它不依赖特定系统或者配置。在图书馆、ATM机、机场、实验室等场景下,它特别有用,因为在这些场景下开机的过程受到加密保护,而对外交互只有键盘/鼠标。
如果你使用了基于Linux的云服务,还可以在没有物理接触的情况下远程处罚漏洞。
这个漏洞影响范围很广,覆盖几乎所有的Linux发行版,包括Debian、Ubuntu、Fedora、Red Hat Enterprise Linux (RHEL)、SUSE,免疫的则有Arch Linux、Solus。
如果你的系统存在此漏洞,官方还没有发布补丁,可以自行修改cryptroot文件:
# sed -i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="panic=5 /' /etc/default/grub
# grub-install
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
P70系列延期,华为新旗舰将在下月发布
3月20日消息,近期博主@数码闲聊站 透露,原定三月份发布的华为新旗舰P70系列延期发布,预计4月份上市。
而博主@定焦数码 爆料,华为的P70系列在定位上已经超过了Mate60,成为了重要的旗舰系列之一。它肩负着重返影像领域顶尖的使命。那么这次P70会带来哪些令人惊艳的创新呢?
根据目前爆料的消息来看,华为P70系列将推出三个版本,其中P70和P70 Pro采用了三角形的摄像头模组设计,而P70 Art则采用了与上一代P60 Art相似的不规则形状设计。这样的外观是否好看见仁见智,但辨识度绝对拉满。
更新日志
- 马小倩《落花A2HD3-HQCD》头版限量[低速原抓WAV+CUE]
- 343前动画师怒喷343糟糕管理层:纯纯的毒瘤
- 《生化2RE》12.31苹果Mac平台发售:现已登陆商店
- 《使命召唤21:黑色行动6》实机发售预告!体验史诗电影单人战役
- 《张雨生 不朽的歌声 黑胶2CD》[WAV/分轨][860MB]
- 《赵传 你过得还好吗 2017》[FLAC/分轨][350MB]
- 《流行新歌告诉你 36首经典金曲 2CD》[WAV+CUE][1GB]
- 王宏伟.2012-用我的心握你的手【太平洋影音】【WAV+CUE】
- 谢安琪.2006-K.SUS.2(EP)(2015金碟复刻版)【BanBanMusic】【WAV+CUE】
- 谢安琪.2005-KAY.ONE(2015金碟复刻版)【BanBanMusic】【WAV+CUE】
- 《勇敢小骑士》评测:是永无乡,亦是梦幻岛
- 《哈利波特:魁地奇锦标赛》:我们魔法学院自己的足球赛
- 《冰汽时代2》评测:看来这一切都是值得的
- 《蛋仔派对》翻糖壳壳皮肤图鉴
- 《蛋仔派对》斑马乐乐皮肤图鉴