На прошлой неделе специалисты компании Qualys сообщили об обнаружении достаточно серьезной уязвимости в утилите needrestart. Данная утилита используется, в частности, в ОС Ubuntu Server начиная с версии 21.04 и запускается после установки и обновления программных пакетов. Ее задача — определить, что система или отдельные программы должны быть перезапущены в результате произведенных в системе изменений и инициировать перезапуск. Ошибки в коде программы обеспечивают сразу несколько способов выполнения произвольного кода. В результате получается надежное средство повышения привилегий обычного пользователя до root, так как сама needrestart выполняется с привилегиями суперпользователя.
Формально в утилите были зафиксированы пять разных уязвимостей. Часть из них получила достаточно высокий рейтинг по шкале CVSS — 7,8 балла. Все уязвимости закрыты в версии needrestart 3.8, причем существовали они как минимум начиная с версии 0.8, выпущенной в 2014 году. Именно тогда в утилиту была добавлена возможность отслеживания интерпретаторов языков высокого уровня. Если сам интерпретатор был обновлен, вполне логично, что необходимо перезапустить программы на этом языке программирования. Отсутствие необходимых проверок позволяет в теории запустить не настоящий, установленный в системе, интерпретатор кода на языке Python или Ruby, а произвольную программу, путь к которой может задать атакующий. Читать дальше →
FitFlop launches Black Friday sale and it includes 40% off Birkenstock dupes
Exclusive: Sumit Kaul on joining the new season of Tenali Rama as Girgit; says ‘It will be a challenge for me to live up to the expectations of audience’
Your League of Legends rank will reset less in 2025, and creepy XP-boosting flowers will now grow around your corpse thanks to the new theme coming in season 1
Meet weird avians, save a kidnapped goddess, and explore a gorgeous lantern world inspired by Persian art in this very funny new indie adventure game
Suicide Squad: Kill the Justice League is $3.50 on Steam, letting you poke around one of 2024's most interesting failures for the price of a cheeseburger
Riot is flexing its anticheat Vanguard by placing a bounty of up to $100,000 for anyone brilliant enough to find and report gaps in the system
Филиал № 4 ОСФР по Москве и Московской области напоминает:
С начала года сотрудники контакт-центра Отделения СФР по Москве и Московской области проконсультировали более 880 тысяч граждан
Филиал № 4 ОСФР по Москве и Московской области информирует:
Отделение СФР по Москве и Московской области оплатило свыше 243 тысяч дополнительных выходных дней по уходу за детьми с инвалидностью
Сеть ресторанов "Грильница" открыла первый ресторан в Московской области
Услуга вывода из запоя на дому: что это и как она работает
Пуртов: на севере Москвы выставили на торги 3 коммерческих помещения
Филиал № 4 ОСФР по Москве и Московской области информирует:
Отделение СФР по Москве и Московской области оплатило свыше 243 тысяч дополнительных выходных дней по уходу за детьми с инвалидностью
ProcessTech: новые горизонты Process Mining и Task Mining в России
Трансляцию балета "Щелкунчик" покажут россиянам накануне Нового года
Воровал вещдоки, но попался: экс-следователь ответит за хищения перед судом
Филиал № 4 ОСФР по Москве и Московской области напоминает:
С начала года сотрудники контакт-центра Отделения СФР по Москве и Московской области проконсультировали более 880 тысяч граждан
Сеть ресторанов "Грильница" открыла первый ресторан в Московской области
Услуга вывода из запоя на дому: что это и как она работает
Гастроэнтеролог Садыков рассказал, как холодец влияет на уровень холестерина
Косметолог-эстетист Наталья Рябинова произвела фурор на форуме «Грани личного бренда»
Филиал № 4 ОСФР по Москве и Московской области информирует:
Отделение СФР по Москве и Московской области оплатило свыше 243 тысяч дополнительных выходных дней по уходу за детьми с инвалидностью
Гастроэнтеролог Садыков рассказал, как холодец влияет на уровень холестерина
