Linux, mesaj bloğu sunucularını etkileyen çekirdek düzeyinde güvenlik açığını gidermek için
bir güncelleme yayınladı. Uzaktan kod yürütme kusuru, kimliği doğrulanmamış kullanıcıların çekirdek düzeyinde kod yürütmesine izin vererek ortak güvenlik açığı raporlama sisteminde mümkün olan en yüksek önem derecesini aldı.
Güvenlik açığının daha popüler Samba paketi yerine yalnızca daha az kullanılan KSMBD modülünü etkilediği göz önüne alındığında, çoğu işletme ve kurumsal kullanıcının herhangi bir olası istismara karşı güvende olduğuna inanılıyor.
Yapılan açıklamada, “Sorun, nesne üzerinde işlemler gerçekleştirilmeden önce bir nesnenin varlığının doğrulanmamasından kaynaklanıyor. Bir saldırgan, çekirdek bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.” denildi. Güvenlik açığının türü, “ücretsiz kullanımdan sonra” kusur olarak sınıflandırılıyor ve bunlar, genellikle kod yürütmeye ve değiştirmeye izin verdiğinden yazılımlarda yaygın olarak bulunuyor.
Kullanım sonrası güvenlik açıkları, uygulamalardaki dinamik belleğin tahsisindeki sorunlarla ilgili oluyor. Dinamik bellek, bir program içindeki veri bloklarının sürekli olarak yeniden tahsis edilmesini içeriyor ve başlıklar, dinamik belleğin hangi bölümlerinin tahsis için uygun olduğunu düzgün bir şekilde kontrol etmediğinde, bir saldırganın verilerin temizlendiği yere kendi kodunu yerleştirmesine izin verebiliyor. Güvenlik araştırmacısı Shir Tamari, potansiyel bir açıktan sonuçlarını, kullanıcıların OpenSSL kullanan herhangi bir web sitesindeki verileri görüntülemesine izin veren 2014 güvenlik açığı Heartbleed’inkine benzetti. Ayrıca konuyla ilgili olarak; “KSMBD yeni, bu nedenle çoğu kullanıcı hala Samba kullanıyor ve bundan etkilenmiyor.” dedi.
Uzmanlara göre sorun, Thales’in tehdit istihbaratı, güvenlik açığı araştırması ve kırmızı ekip geliştirmeye odaklanan bir bölümü olan Thalium Ekibinde çalışan dört araştırmacı tarafından keşfedildi. Araştırmacılar, Linux Vakfı’nı 26 Temmuz 2022’de kusur konusunda uyardı ve koordineli kamu açıklaması geçtiğimiz gün yayınlandı.
