Még 2009 júniusában bukkant fel az a biztonsági hiba (CVE-2017-2636), ami aztán javítás nélkül maradt egészen idén február végéig. Végül a Positive Technologies szakembere, Alexander Popov döntött úgy, hogy közzé teszi felfedezését és a szükséges javítást is. Február 28-án vette észre Popov, hogy még mindig nincsen javítva a sebezhetőség, hét nappal később vált elérhetővé a patch.

Sok rendszer érintett

Ez a régi sérülékenység igen elterjedt a linuxos munkaállomások és szerverek között, nyilatkozta a szakértő. Ahhoz, hogy a sebezhető modul automatikusan betöltődjön, a támadónak nem kell különösebb felhasználói jogokkal rendelkeznie. Emellett speciális hardver sincsen szükség kiaknázásához, írta Popov, aki azt is elárulta, hogy a Google Syzkaller nevű forráskód-auditáló eszközével akadt rá.

Szerencsére a Kernel.org-nak történt bejelentést követően alig egy héttel előállt a frissítés. A bug hatása egyébként ennek hiányában is minimalizálható; ehhez kézzel beállított speciális szabályok kellenek, melyekkel megakadályozhatók az érintett kernelmodulok betöltődése, olvasható a Positive Technologies által kiadott útmutatóban.

A hiba kora és az érintett modulokat tartalmazó disztribúciók magas száma miatt lehet nagyon elterjedt a sebezhetőség. Ezek zöménél egyszerű a hatástalanítás, de számos beágyazott rendszer is érintett, amiket azonban viszonylag ritkán frissítenek. Ilyenek például azok az olcsóbb digitális videorögzítők, melyeket zártláncú kamerák képeinek rögzítéséhez vásároltak, vagyis akár biztonsági felvételek is veszélyben lehetnek.

Mocskos tehén

Nem a fenti az első eset, hogy hosszú évek telnek el egy linuxos bug felbukkanása és javítása között. Ezek közül talán az úgynevezett Dirty COW nulladik napi sérülékenység (CVE-2016-5195) a legismertebb. A 2007-ben bemutatkozó sebezhetőséget csak a tavalyi év során patch-elték. Javítását nagyban elősegítette, hogy 2016-ban rohamosan nőtt a biztonsági rés létének ismertsége, amit így aztán még azelőtt kezdtek el tömegével kihasználni rosszindulatú internetezők, hogy megjelent volna frissítése.

Érdekesség, hogy a fenti esetben is számos beágyazott rendszer volt érintett, melyek zöme feltételezhetően mindmáig támadható maradt.

A fentiek jól jelzik, hogy minden hiedelemmel és mítosszal ellentétben a Linux sem nyújt tökéletes védelmet. Igaz, van, hogy nem a pingvines operációs rendszer tehet arról, ha sebezhetővé válik. Tavaly novemberben például az összes Azure Red Hat Enterprise Linux veszélyben volt egy Microsoft frissítésben lévő sebezhetőség miatt.

Kiderült, hogy egy Azure telepítőszkript előrekonfigurált RPM Package Managert használt, ami viszont ártó célokból könnyen kihasználható host információkat tartalmazott. Ezeket a biztonsági réseket aztán viszonylag gyorsan befoltozta a Microsoft.