微慑信息网

长按回车 70 秒 Root Linux 系统,你信么?

不管你信不信,黑客只需按住“ Enter ”(回车)键约 70 秒就能轻松绕过 Linux 系统身份验证、获得 Root 权限、实现对加密 Linux 设备的完全控制

Linux Unified Key Setup (LUKS,统一密钥设置) 是 Linux 下标准的设备加密格式,可用于不同的 Linux 版本、支持多用户/口令。 CVE-2016-4484 漏洞出于分区加密程序 Cryptsetup 通过 LUKS 标准加密硬盘驱动器的过程中 ,能够导致 Cryptsetup 解密过程失败,从而允许用户多次重试密码。更糟糕的是,如果用户已尝试 93 次密码或者直接按住“ Enter ”键约 70 秒,将会直接进入具有 root 权限的 shell 里面 (即能够 Root  initramfs shell)。

wechatimg100

一旦获得目标 Linux 设备上的 root shell ,黑客可以复制、修改、破坏硬盘,或者连接网络窃取数据。如果设备使用基于云的 Linux 服务,黑客可远程利用此漏洞,而无需“物理访问”。这个安全漏洞不依赖于特定的系统或配置,在图书馆、自动取款机、机场设备、实验室等场景中最容易被利用。

解决方法

首先,在 LUKS 密码提示下按 Enter 键约 70 秒钟,直到 shell 出现,查看您的系统是否容易受到攻击。

1、如果容易受到攻击,您需要与您的 Linux 系统支持供应商联系,查询是否有补丁可用。

wechatimg101

2、如果修补程序不可用,则可以通过修改 cryptroot 文件

访问 hmarco.org 可以查看更多细节

稿源:本站翻译整理,封面来源:百度搜索

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 长按回车 70 秒 Root Linux 系统,你信么?

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册