紅帽資深Linux安全工程師也是紅帽雲端安全技術管理者Kurt Seifried的回覆言下之意指爆料者似乎搞不清楚狀況。

資安業者Alert Logic公布了一個名為Grinch(耶誕怪客)的Linux漏洞,宣稱影響包括行動版在內的所有Linux平台。不過,Linux版本業者紅帽(Red Hat)表示,這並不是一個安全漏洞,甚至連臭蟲都稱不上。

根據Alert Logic的說明,此一Grinch漏洞存在於新的授權系統中,該系統允許使用者透過wheel群組來擴張權限。當建立一個Linux系統時,預設的使用者會被分配到wheel群組以在系統內執行管理級任務。新的Linux生態系統嘗試導人新的授權方法,將允許駭客利用管理作業系統權限的Polkit與PackageKit工具來安裝惡意套件。

Alert Logic還說此一漏洞會影響所有的Linux平台與任何被納入wheel群組的帳號,但只要修改Polkit規則或使用者的群組權限就能解決此一問題。

不過,紅帽並不認為這是個安全漏洞。資深的Linux安全工程師、也是紅帽雲端安全的技術管理者Kurt Seifried表示,他仔細看了這篇文章後認為,文章所描述的只是可安裝軟體的管理員權限,是個合理的行為,而且原本就不應該以管理員權限來執行網路程式,只能假設這篇文章所指的是沒有安裝好或從未更新的控制介面。

紅帽也為此發表聲明,說明PackageKit的控制台客戶端程式原本就是要讓wheel群組的使用者能夠安裝各種套件,亦允許本地端用戶不必輸入密碼就能執行相關功能。Alert Logic所指稱的問題只是PackageKit的正常行為,並不是個安全問題,甚至稱不上臭蟲。(編譯/陳曉莉)

相關連結:Alert Logic文章紅帽聲明Kurt Seifried說明

熱門新聞

Advertisement