“圣诞怪杰”Grinch:比Bash破壳(shellshock)更严重的Linux漏洞

安全研究人员在Linux操作系统中发现了一个名为圣诞怪杰(Grinch)的漏洞,该漏洞存在于linux系统中,和Bash破壳(shellshock)漏洞(CNNVD-201409-938)一样可以在受害者机器上获得最高权限。

Bash破壳(shellshock)漏洞在今年9月份的时候在技术界造成了很大反响,Bash中的一个代码错误影响了所有的UNIX操作系统,包括Linux和Mac系统。和shellshock漏洞的攻击效果类似,攻击者利用圣诞怪杰(Grinch)的漏洞可以在没有密码或者加密密钥的情况下获得系统root权限。这一问题存在于Linux的认证系统中,攻击者可以利用该漏洞把一个普通用户提升为超级用户,获得root权限。攻击者可以利用Grinch漏洞修改用户帐号权限或Policy Kit配置文件。攻击者最终目的是获得系统最高权限—root,即攻击者接管了整个操作系统,可以安装、修改程序或者访问任意目录下的文件。

所有使用Unix/Linux操作系统的零售商或者电子商务平台都可能受这一漏洞的影响,比如亚马逊。据估计,目前有将近65%的web服务器使用的都是Unix/Linux操作系统,有些智能手机也是使用的与Linux相关的系统。

Linux官方目前发布给出任何的声明和补丁,但是自从在Linux内核构架中发现这一漏洞,Linux内核研发小组正在致力于解决这一问题。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-12-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序人生

谈谈用户权限系统

登录这事之于一个需要识别用户身份的产品,就仿佛cs101之于computer science。感谢各种语言里各种优秀的登录模块(比如nodejs的passpor...

31540
来自专栏AI研习社

马蜂窝数据被扒光, 用 Python 爬取网页信息 4 分钟就能搞定

图片来自https://www.freestock.com/free-photos/illustration-english-window-blue-sky-c...

17310
来自专栏菜鸟程序员

Macos下使用加速百度云(aria2gui下载器)

1.7K30
来自专栏BY的专栏

利用 GitHub Pages 快速搭建个人博客前言快速开始写文章自定义域名进阶利用GithHub Desktop管理GitHub仓库修改个人介绍常见问题其他Star补充最后要说个事情

1K100
来自专栏杨建荣的学习笔记

一个拷贝操作导致的潜在监听类问题(r9笔记第70天)

最近为了统计一些服务器的监听使用情况,于是写了一个简单的脚本,在中控中执行,脚本逻辑很简单,也没有什么亮点。 脚本内容如下: #check $1 is IP b...

32770
来自专栏张戈的专栏

让WordPress RSS/Feed订阅数据延迟发布,附RSS技巧集锦

前些天给博客添加了一个百度是否收录的查询功能,今天无意点开了一篇显示已收录的查询链接,发现查到的居然不是我的博客博文,而是和我博客一直就有合作的一览 1001 ...

37350
来自专栏云瓣

hexo摸爬滚打之进阶教程

本文首发在我的个人博客:http://muyunyun.cn/ 写博客有三个层次,第一层次是借鉴居多的博文,第二层次是借鉴后经过消化后有一定量产出的博文,第三...

55780
来自专栏腾讯NEXT学位

新人如何搭建(copy)一个属于自己的博客

47140
来自专栏zhangdd.com

ntp服务器查看状态命令ntpstat及ntpq -p 说明及差别详解

NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)...

39220
来自专栏刺客博客

利用Shell为宝塔面板添加动态密码登陆

20830

扫码关注云+社区

领取腾讯云代金券