安全研究人员在Linux操作系统中发现了一个名为圣诞怪杰(Grinch)的漏洞,该漏洞存在于linux系统中,和Bash破壳(shellshock)漏洞(CNNVD-201409-938)一样可以在受害者机器上获得最高权限。
Bash破壳(shellshock)漏洞在今年9月份的时候在技术界造成了很大反响,Bash中的一个代码错误影响了所有的UNIX操作系统,包括Linux和Mac系统。和shellshock漏洞的攻击效果类似,攻击者利用圣诞怪杰(Grinch)的漏洞可以在没有密码或者加密密钥的情况下获得系统root权限。这一问题存在于Linux的认证系统中,攻击者可以利用该漏洞把一个普通用户提升为超级用户,获得root权限。攻击者可以利用Grinch漏洞修改用户帐号权限或Policy Kit配置文件。攻击者最终目的是获得系统最高权限—root,即攻击者接管了整个操作系统,可以安装、修改程序或者访问任意目录下的文件。
所有使用Unix/Linux操作系统的零售商或者电子商务平台都可能受这一漏洞的影响,比如亚马逊。据估计,目前有将近65%的web服务器使用的都是Unix/Linux操作系统,有些智能手机也是使用的与Linux相关的系统。
Linux官方目前发布给出任何的声明和补丁,但是自从在Linux内核构架中发现这一漏洞,Linux内核研发小组正在致力于解决这一问题。