web-dev-qa-db-fra.com

Tester si Ubuntu est vulnérable à (CVE-2016-4484)

J'ai lu this . Apparemment, j'obtiendrais un accès root si je maintenais la touche Entrée enfoncée (quelque part) pendant 70 secondes. Je l'ai essayé sur une invite de mot de passe mais il m'a donné comme 3 tentatives et s'est arrêté. Je l'ai essayé sur un tty mais cela n'a pas fonctionné aussi. Est-ce que je ne suis pas vulnérable ou est-ce que je me trompe?

4
Mina Michael

Voir la sécurité site web de Canonical à ce sujet. Toutes les versions ont un "nécessaire" donc il n'y a pas encore de solution pour elles.

Donc, si vous remplissez les conditions pour ce bogue, vous pouvez être affecté. Pour 1, vous devez utiliser Configuration de la clé unifiée Linux (LUKS), cryptsetup . Votre partition doit donc utiliser le cryptage. Si vous ne le faites pas, vous n'avez pas de problème. ( Plus d'infos sur hmarco.org )

Le correctif est assez facile, il suffit d’exécuter cette commande pour ajouter un paramètre de panique à votre configuration de démarrage:

Sudo sed -i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="panic=5 /' /etc/default/grub grub-install
Sudo grub-install

panic=5 à vos options empêchant ce problème. C'est le nombre de secondes pendant lequel vous souhaitez lancer le redémarrage après la panique. L'ajout du paramètre panic à l'entrée du noyau dans la configuration de grub empêchera un shell.

3
Rinzwind