운영 체제 우분투 리눅스, 전문 분야에서 널리 사용되는 보안 문제가 없는 것은 아닙니다. 최근에, 취약점 사용자를 주목할만한 위험에 노출시키는 비판이 강조되었습니다. 시스템의 보안을 보장하려면 이러한 취약점을 완화하는 데 필요한 조치를 기록하는 것이 중요합니다.
취약점의 맥락
취약점 식별
의 사용과 관련된 세 가지 주요 보안 취약점 네임스페이스 아래에 우분투 발견되었습니다. 이러한 결함으로 인해 권한이 없는 로컬 공격자가 일반적으로 보호되는 리소스에 액세스할 수 있습니다. 이 환경에 의존하는 모든 사람에게는 의미를 아는 것이 중요합니다.
작동 방법
우회 기술
취약점으로 인해 악용이 가능해집니다. 사용자 네임스페이스, 권한이 없는 사용자에게 관리 권한을 부여합니다. 확인된 방법은 다음과 같습니다.
- aa-exec 사용 : 특정 AppArmor 프로필에서 프로그램을 실행할 수 있으므로 승격된 네임스페이스를 더 쉽게 만들 수 있습니다.
- 비지박스 사용 : 이 내장 셸을 사용하면 셸 인스턴스를 시작하고 네임스페이스 제한을 우회할 수 있습니다.
- LD_PRELOAD 기술 : 공유 라이브러리를 신뢰할 수 있는 프로세스에 삽입하여 무단 액세스를 허용합니다.
권장 조치
취해야 할 조치
이러한 위협으로부터 보호하려면 수동 완화 전략을 구현하는 것이 중요합니다. 다음은 몇 가지 권장 사항입니다.
- 기본적으로 제한 활성화 권한이 없는 사용자 네임스페이스.
- 장애를 입히다 busybox 및 Nautilus에 대한 광범위한 AppArmor 프로필.
- 적용하다 관련 애플리케이션에 대한 AppArmor 프로필이 더욱 엄격해졌습니다.
취약점 요약표
| 🔒 방법 | 엄중 | 가능한 영향 |
|---|---|---|
| aa-exec | 보통의 | 네임스페이스에 대한 액세스 |
| 비지박스 | 비판적인 | 무단으로 네임스페이스 생성 |
| LD_PRELOAD | 학생 | 안전하지 않은 코드 삽입 |
Ubuntu의 보안은 선택이 아니라 필수입니다. 시스템의 무결성을 유지하려면 적절한 완화 조치를 채택하는 것이 중요합니다. 이러한 맥락에서 채택해야 할 다른 조치는 무엇이라고 생각하십니까? 댓글로 여러분의 의견을 공유해주세요!