'গ্রিন্চ' লিনাক্স দুর্বলতা নয়, রেড হ্যাট বলেছেন

"চিত্তাকর্ষক" লিনাক্সের দুর্বলতা যে এলার্ট লজিক মঙ্গলবার সম্পর্কে অ্যালার্মগুলি উত্থাপিত হয় তা হ'ল কোনও ঝুঁকিপূর্ণ নয়।

"এই রিপোর্টটি নিরাপত্তাজনিত সমস্যা হিসাবে ভুল আচরণ করে, "এলার্ট লজিকের দাবির প্রতি সাড়া দিয়ে, বুধবার প্রকাশিত একটি রেড হ্যাট বুলেটিন বলে।

নিরাপত্তা ফার্ম অ্যালার্ট লোগিক মঙ্গলবার দাবি করেছে যে গ্রিন্চ হার্ডবল্ড বাগ হিসাবে গুরুতর হতে পারে এবং এটি লিনাক্স সিস্টেমে ব্যবহারকারীর অনুমতিগুলি কীভাবে পরিচালিত হয় তার একটি গুরুতর নকশা নকল হতে পারে। বিপজ্জনক আক্রমণকারীরা একটি মেশিনে রুট অ্যাক্সেস লাভ করতে পারে।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

সতর্কতা লোগিক দাবি করেছে যে একজন আক্রমণকারী তৃতীয় পক্ষ লিনাক্স সফটওয়্যার পলিসি কিট নামক কাঠামো (পি সফটওয়্যার প্যাকেজ ইনস্টল এবং চলমান ব্যবহারকারীদের সাহায্য করার জন্য ডিজাইন করা হয়েছিল। Red Hat Polkit রক্ষণাবেক্ষণ করে, একটি মুক্ত-উৎস প্রোগ্রাম। ব্যবহারকারীদের সফ্টওয়্যার প্রোগ্রামগুলি ইনস্টল করার অনুমতি দিয়ে, যার জন্য সাধারণত রুট অ্যাক্সেস প্রয়োজন, Polkit দূষিত প্রোগ্রাম চালানোর জন্য একটি অ্যাডভান্স প্রদান করতে পারে, অজানা বা অন্যথায়, অ্যালার্ট লজিক বলেন।

কিন্তু সিস্টেমটি এমনভাবে কাজ করার জন্য ডিজাইন করা হয়েছে- অন্য কথায়, এটি একটি বাগ নয়, তবে এটি একটি বৈশিষ্ট্য, যেটি Red Hat এর মত।

"যদি আপনি ব্যবহারকারীকে আপনার সিস্টেমে কোনও সফ্টওয়্যার ইনস্টল না করে পাসওয়ার্ডটি ব্যবহার করে বিশ্বাস করে থাকেন তাহলে আপনি নিঃসন্দেহে প্রমাণীকরণ এবং অ্যাক্সেস কন্ট্রোলকে বাইপাস করছেন লিনাক্স "থ্রেড স্ট্যাকের নিরাপত্তা পর্যবেক্ষণ সংস্থার অধ্যাপক জেন আন্দ্রে লিখেছেন, যে বিষয়টি নিয়ে ব্লগে পোস্ট করা হয়েছে।

যদিও চটকদার আচরণটি অভিপ্রেত হয় তবে এটি এখনও আপোষযোগ্য সিস্টেমগুলির সাথে অপব্যবহার বা সংশোধিত হতে পারে, সতর্কতা লজিকের সিনিয়র নিরাপত্তা গবেষক টাইলার বোরল্যান্ড আইডিজি নিউজ সার্ভিসের একটি ই-মেইলে লিখেছেন।

"এখানে সমস্যাটি হল আক্রমণের পৃষ্ঠভূমি খোলার একটি উপায় আছে", Bourland লিখেছেন। "যদি প্যাকেজ ইনস্টল করা অন্য সব অপারেশনের মতো কাজ করে, যেমন প্যাকেজগুলি অপসারণ করা বা সংগ্রহস্থলগুলি যোগ করা এবং সর্বদা একটি পাসওয়ার্ড চাওয়া হয়, তাহলে এইরকম অপব্যবহারের সম্ভাব্যতা আমরা চিহ্নিত করব না।"

তবে, পোলকিটের ব্যবহার আক্রমণকারীর জন্য কিছু গুরুতর সীমাবদ্ধতা, আন্দ্রে একটি সাক্ষাত্কারে বলেন।

আক্রমণকারীকে লিনাক্স কম্পিউটারে শারীরিক অ্যাক্সেস থাকতে হবে এবং একটি সংযুক্ত কীবোর্ড এবং মাউস দিয়ে মেশিনের সাথে যোগাযোগ করতে হবে। আক্রমণকারীর কাছে এই স্তরের অ্যাক্সেস থাকলে, মেশিনটি একটি পুনরুদ্ধারের মোডে রিবুট করা এবং ডাটা এবং প্রোগ্রামগুলিকে অ্যাক্সেস করার উপায় হিসাবে, আন্দ্রে লিখেছেন।

এছাড়াও, পলকিটটি সব লিনাক্স মেশিনে ডিফল্টভাবে ইনস্টল করা নেই আসলে, প্রাথমিক ব্যবহারের ক্ষেত্রে ওয়ার্কস্টেশনগুলির জন্য গ্রাফিকাল ডেস্কটপ ইন্টারফেস আছে, যেগুলি আজকে চালানো লিনাক্স মেশিনের একটি ছোট শতাংশ গঠন করে। আন্ডার বলেন।

অন্য কথায়, চিমনিতে শেলশক এর ব্যাপক আক্রমণের পৃষ্ঠ নেই প্রায় সব লিনাক্স ডিস্ট্রিবিউশন পাওয়া যায়।

অন্যান্য নিরাপত্তা বিশেষজ্ঞরা হতাশ হয়ে পড়েছে।

"কিছু উপায়ে, এটি এতটা ঝুঁকিপূর্ণ নয় যে, এটি একটি সাধারণ অপ্রত্যাশিত অনুমতিজনক কনফিগারেশন অনেক লিনাক্স সিস্টেম ", একটি ব্লগ পোস্টে SANS ইনস্টিটিউটের ইন্টারনেট স্টর্ম সেন্টারের নিরাপত্তা অ্যাডভাইজরি সাইটের জোহানেস উল্লিখ লিখেছেন।

উলেরিচ এও লক্ষ করেছিলেন যে, চিত্তাকর্ষকটি সম্পূর্ণরূপে সহানুভূতিশীল নয়:" এটি সহজেই এর বাইরে সুযোগ বৃদ্ধি করতে ব্যবহার করা যেতে পারে int- এ Polkit কনফিগারেশন এর ent "।

আন্দ্রে বলেন যে প্রশাসক যারা ডেস্কটপ Linux মেশিন Polkit চলমান মেশিন পরিচালনার সম্ভাব্য বিপদ সম্পর্কে সচেতন হতে হবে এবং তারা কি প্রোগ্রাম Polkit কোন পরিচালিত হয় তা নিশ্চিত করতে পরিচালিত হবে কিনা তা নিশ্চিত করা উচিত।

অ্যাপ্লিকেশন ডেভেলপার এবং লিনাক্স ডিস্ট্রিবিউটররা নিশ্চিত করে যে তারা পোলকিট ফ্রেমওয়ার্ক সঠিকভাবে ব্যবহার করছে, আন্দ্রে বলেন।

এমনকি মূল রিপোর্টের সহ-লেখক টাইলারকেও মনে হয় যে এই চটকানটি এতই কঠোর নয়।

Grinch একটি "পৃষ্ঠ খোলার stager এবং নিজেই কিছুই কিছুই," Bourland লিখেছেন, কীভাবে একটি আক্রমণকারী একটি দুর্ঘটনা সঙ্গে আক্রমণের সাথে ব্যবহার করার জন্য অতিরিক্ত দুর্বলতা প্রয়োজন, ওপেন সোর্স সিকিউরিটি মেইলিং তালিকা একটি ইমেল।

(লুসিয়ান কনস্ট্যান্টিন এই প্রতিবেদনটিতে অবদান রাখে।)