iT邦幫忙

2023 iThome 鐵人賽

DAY 11
0
影片教學

資安 Vtuber 語野飛陪你讀新聞學資安知識系列 第 11

Day11 資安 Vtuber 讀新聞:更新也會造成漏洞 (研究人員警告,4成Ubuntu含有漏洞風險)

  • 分享至 

  • xImage
  •  

新聞來源:https://www.ithome.com.tw/news/157983
新聞名稱:研究人員警告,4成Ubuntu含有漏洞風險
Yes

研究人員警告

4成 Ubuntu 有漏洞風險

基礎知識

Ubuntu

  • 定義

    • 基於 Linux 的開放原始碼作業系統

容器

  • 定義

    • 允許開發人員包裝應用程式與相關的環境內容(相依性)標準化成一個執行單元
  • 目的

    • 可以確保應用程式在不同的環境中都能夠以相同的方式執行
  • 範例

    • docker

User Namespace

  • 定義

    • Linux 中的虛擬化技術,將不同的 Process 有隔離環境
  • 目的

    • User Namespace 允許每個命名空間有其獨立的使用者和群組 ID

OverlayFS

  • 定義

    • Linux 檔案系統,將多個不同的來源結合成一個共同的目錄結構
  • 作用

    • 可在預先建構好的映像檔上部署動態檔案系統

    • 非特權使用者常以利用使用者命名空間(User Namespace)存取 OverlayFS

  • 應用

    • 常用於 Docker 和其他容器技術

權限擴張漏洞

Privilege Escalation Vulnerability

  • 定義

    • 又稱提權漏洞,攻擊者可以利用該漏洞提升他在系統上的權限
  • 舉例

    • 從一般使用者變成超級使用者(root)

CVE (Common Vulnerabilities and Exposures):

  • 定義

    • 已知漏洞資料庫

    • CVE-年份-流水號

Linux Kernel

  • 定義

    • Linux 作業系統的核心,處理系統硬體、程式執行與其他功能

駭客攻擊面

  • 定義

    • 攻擊面,Attack interface

事件整理

背景

  • Wiz Research

    • 發現

      • 駭客可以攻擊的系統、網路、應用程式或物理位置

      • Ubuntu 有 OverlayFS 權限擴張漏洞

    • 影響

      • 40 %

        • Ubuntu 使用者
  • Ubuntu

    • 2018

      • 更新 OverlayFS 模組

        • 無影響
    • 2019

    • 2022

漏洞

  • 攻擊程式

    • 直接針對這兩個新漏洞進行攻擊,不需要任何修改
  • 漏洞編號

    • CVE-2023-32629

    • CVE-2023-2640

  • 成因

    • 沒有檢查本地端的權限,導致駭客可以進行提權

防護建議

  • 更新

    • Ubuntu 23.04

小試身手

Wiz Research的研究人員發現了多少個與OverlayFS 相關的權限擴張漏洞

  • A. 1

  • B. 2

  • C. 3

  • D. 4

  • 答案

    • B. 2

針對該漏洞,約有多少百分比的 Ubuntu

使用者受到影響

  • A. 10 %

  • B. 20 %

  • C. 30 %

  • D. 40 %

  • 答案

    • D. 40 %

Linux Kernel 在哪兩年進行的 OverlayFS 變更與Ubuntu的作法產生了衝突

  • A. 2017 和 2020

  • B. 2018 和 2021

  • C. 2019 和 2022

  • D. 2020 和 2023

  • 答案

    • C. 2019和2022

CVE-2023-32629 和 CVE-2023-2640這兩個漏洞是否也影響其他Linux作業系統

  • A. 是

  • B. 否

  • 答案

    • B. 否

根據新聞,過去鎖定 OverlayFS 漏洞的攻擊程式是否需要修改就能攻擊新的 CVE-2023-32629和CVE-2023-2640 漏洞?

  • A. 需要

  • B. 不需要

  • 答案

    • B. 不需要

上一篇
Day10 資安 Vtuber 讀新聞:雙因素驗證還是會被攻擊 (俄羅斯駭客利用Microsoft Teams展開網釣攻擊)
下一篇
Day12 資安 Vtuber 讀新聞:玩個經典舊遊戲也會被駭客攻擊 (病毒感染舊版《決勝時刻》電玩用戶Windows PC)
系列文
資安 Vtuber 語野飛陪你讀新聞學資安知識30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言