一家以色列安全公司在 Linux 内核中发现了一个重大的安全漏洞（CVE-2016-0728），它已经存在了将近三年。影响到了成千上万的 Linux 服务器和 Linux 桌面计算机；此外，近 70% 的 Android 手机和平板也受此漏洞影响。

漏洞情况

在 Perception Point 发表的一篇文章中说，该漏洞出现在 Linux 钥匙环 （ keyring ） 中，钥匙环用于存储认证信息、加密密钥、安全数据和其它敏感信息。简单来说，该漏洞允许攻击者提升普通本地用户的权限，获得设备的 root 权限。关于该漏洞的深入的描述，可以见此文章。

这很可怕，获得了 root 权限的攻击者可以在设备上做任何事情，包括安装恶意软件、删除文件、读取敏感信息等等。而在有该漏洞的 Android 设备上得到 root 权限很简单，只需要用户点击某个恶意链接或扫描二维码，下载并打开来路不明的恶意应用就会受到攻击。

谁会受到影响？

据 Perception Point 掌握的数据，目前还没有人受到该漏洞的攻击。这让人稍有安慰，但是有大量的设备都暴露在该安全漏洞之下，存在潜在的被攻击风险。

“虽然我们和内核安全团队没有观察到对此安全漏洞的攻击，但是这个安全漏洞暴露在外，随时有可能被利用”， Perception Point 的文章说，“我们建议安全团队检查受影响的设备，并尽快实施补丁”。

成千上万的运行 Linux 内核 3.8 及其以上版本的 Linux 桌面计算机和服务器会受此漏洞影响，而由于 Android 继承了部分 Linux 内核的代码，所以该漏洞也影响到了 Android 4.4 及其以上版本的设备。截止到目前，估计有超过 69.4%的 Android 设备受此影响，这已经远超安全研究人员的预计。简单的来说，如果你是两年内购买或升级的 Android 设备，那么你的设备是肯定受影响的。

Google 回应了 Perception Point 的发现，并已经发布安全补丁交付给了合作厂商，称其实受到影响的设备“明显少于最初报道的”数量。

“我们确信 Nexus 设备不会因这个漏洞而受到第三方应用的影响”，Google 的 Adrian Ludwig 写到，“此外，Android 5.0 及其以上版本是受保护的，因为其上的 SELinux 策略会防止第三方应用访问到这些有问题的代码。还有，运行 Android 4.4 及更旧版本的设备也不包含这些有问题的代码，它们是在 Linux 内核 3.8 版本引入的，这些新的内核版本并不能用在旧的 Android 设备上。”

有多严重？

这个已经潜伏了近三年的安全漏洞非常严重，特别是 Perception Point 已经提出了验证该漏洞概念的代码。

好消息是，在 Linux 公司方面，Red Hat 和 Ubuntu 已经发布了更新，现在管理员们可以更新补丁了。

而 Android 方面有些复杂。虽然 Google 已经启动了按月发布安全更新的计划，但是该公司并没有说这次的补丁是否会出现在2月份的更新中。即便发布，这个补丁也需要通过复杂的过程才能更新到那些 Android 定制厂商的设备中。换句话说，没有人能告诉你什么时候所有受影响的 Android 设备才会更新完成。

不过，好在你只要不点击可疑链接或扫描来路不明的二维码去下载安全性未知的应用，就可以免受该漏洞的影响。而一旦有了相关的安全更新，尽快更新就好。

图片来源：Natalia Wilson，受Creative Commons许可

安全专家表示，Linux处理权限的方式仍有可能导致潜在的误操作。

但红帽对此不以为然，称 Alert Logic 于本周二（译者注：12月16日）公布的 grinch (“鬼精灵”) Linux漏洞根本算不上是安全漏洞。

红帽于周三发表简报 回应Alert Logic 说法，表示：“（Alert Logic的）这份报告错误地将正常预期动作归为安全问题。”

安全公司Alert Logic于本周二声称“鬼精灵”漏洞其严重性堪比 Heartbleed 臭虫，并称其是 Linux 系统处理用户权限时的重大设计缺陷，恶意攻击者可借此获取机器的root权限。

Alert Logic 称攻击者可以使用第三方Linux 软件框架Policy Kit (Polkit)达到利用“鬼精灵”漏洞的目的。Polkit旨在帮助用户安装与运行软件包，此开源程序由红帽维护。Alert Logic 声称，允许用户安装软件程序的过程中往往需要超级用户权限，如此一来，Polkit也在不经意间或通过其它形式为恶意程序的运行洞开方便之门。

红帽对此不以为意，表示系统就是这么设计的，换句话说，“鬼精灵”不是臭虫而是一项特性。

安全监控公司Threat Stack联合创造人 Jen Andre 就此在一篇博客中写道：“如果你任由用户通过使用那些利用了Policykit的软件，无需密码就可以在系统上安装任何软件，实际上也就绕过了Linux内在授权与访问控制。”

Alert Logic 高级安全研究员 James Staten 在发给国际数据集团新闻社(IDG News Service)的电子邮件中写道，虽然这种行为是设计使然，有意为之，但“鬼精灵”仍然可能被加以利用或修改来攻陷系统。

“现在的问题是表面存在一个薄弱环节，可以被用来攻击系统，如果安装软件包象其它操作一样，比如删除软件包或添加软件源，没有密码不行，那么就不会存在被恶意利用的可能性了。”

不过 Andre 在一次采访中也表示，对那些跃跃欲试的攻击者来说，想利用Polkit还是有一些苛刻限制的。

攻击者需要能够物理访问机器，并且还须通过外设键鼠与机器互动。如果攻击者能够物理访问机器，可以象重启机器进入恢复模式访问数据与程序一样地轻而易举的得手。

Andre表示，不是所有Linux机器都默认安装Polkit -- 事实上，其主要用于拥有桌面图形界面的工作站，在当今运行的Linux机器中占有很小的份额。

换句话说，“鬼精灵”并不具有象Shellshock那样广泛的攻击面， 后者存在于Bash shell中，几乎所有发行版无一幸免。

其他安全专家对“鬼精灵”漏洞也不以为然。

系统网络安全协会（SANS Institute）互联网风暴中心（Internet Storm Center）咨询网站的 Johanners Ullrich 在一篇博文中写道：“某种程度上，与很多Linux系统过分随意的设置相比，这个并算不上多大的漏洞。”

Ullrich 同时还指出，“鬼精灵”漏洞也并非完全“良性”，“可以很容易地加以利用，获得超出Polkit设置预期的权限。”

Andre指出，负责管理运行Polkit桌面Linux机器的管理员要做到心中有数，了解潜在的危险，检查那些程序是靠Polkit来管理的，确保系统无虞。

他还表示，应用开发者与Linux 发行者也应确保正确使用Polkit框架。

原始报告的另一位作者Even Tyler似乎也承认“鬼精灵”并非十分严重。

在开源安全邮件列表的一封邮件中，Bourland 提到攻击者需要借助其它漏洞，连同“鬼精灵”才能发起攻击时，他写道，“鬼精灵”就象个“开启界面的熟练工，但是本身并不能翻多高的浪。”

（Lucian Constantin 对本文也有贡献。）

via:http://www.computerworld.com/article/2861392/security0/the-grinch-isnt-a-linux-vulnerability-red-hat-says.html

作者：Joab Jackson 译者：yupmoon 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来自赛门铁克研究员的消息，这个病毒通过2012年出现的 PHP 漏洞传播

据美国国际数据集团（IDG）的新闻 —— 一个新的蠕虫病毒将目标指向那些运行了 Linux 和 PHP 的 x86 架构计算机，其变种还会对运行在其他芯片架构上的设备（诸如家用路由器和机顶盒）造成威胁。

根据赛门铁克研究员的介绍，这种病毒利用 php-cgi 上的一个漏洞进行传播，这个 php-cgi 组件的功能是允许 PHP 代码在通用网关接口（CGI）的配置环境下被执行。此漏洞的代号为 CVE-2012-1823（通过这个漏洞，攻击者可以远程执行任意代码，所以这种漏洞又叫“远程任意代码执行漏洞” —— 译者注）。2012年5月份，PHP 5.4.3 和 PHP 5.3.13 这两个版本已经打上补丁修复了这个漏洞。

这个赛门铁克的研究员在博客中写道：这个名为“Linux.Darlloz”的新蠕虫病毒基于去年10月份放出的 PoC 代码（PoC：proof of concept，概念验证。利用目标计算机的漏洞，为对其进行攻击而设计的代码称为 exploit，而一个没有充分利用漏洞的 exploit，就是 PoC —— 译者注）。

“在传播过程中，这段蠕虫代码会随机产生 IP 地址，通过特殊途径，利用普通的用户名密码发送 HTTP POST 请求，探测漏洞”，研究员解释道：“如果一个目标没有打上 CVE-2012-1823 的补丁，这台机器就会从病毒服务器下载蠕虫病毒，之后寻找下一个目标。”

这个唯一的蠕虫变种目前为止只感染了 x86 系统，这是因为这个病毒的二进制格式为 Intel 架构下的 ELF （Executable and Linkable Format）格式。

然而这个研究员警告说，黑客也为其他架构开发了病毒，包括 ARM，PPC，MIPS 和 MIPSEL。

这些计算机架构主要用于诸如家用路由器、网络监视器、机顶盒以及其他嵌入式设备。

“攻击者显然试图在最大范围内感染运行 Linux 的设备”，研究员又说：“然而我们还没有证实他们有没有攻击非 PC 设备。”

很多嵌入式设备的固件都使用 Linux 作为操作系统，并且使用 PHP 作为 Web 服务管理界面。这些设备比 PC 机 或服务器更容易被攻陷，因为它们不会经常更新软件。

在嵌入式设备为一个漏洞打上补丁，从来都不是件容易的事。很多厂商都不会定期公布更新信息，而当他们公布时，用户也不会被告知说这些更新解决了哪些安全问题。

并且，在嵌入式设备上更新软件比在计算机上需要更多的工作，以及更多的技术知识。用户需要知道哪些网站能提供这些更新，然后下载下来，通过 Web 界面更新到他们的设备中。

“很多用户也许压根就不知道他们家里或办公室的设备存在漏洞，”啰嗦的研究员说：“我们面临的另一个问题是，即使用户注意到他们用的是有漏洞的设备，这些设备的供应商却没有提供补丁，原因是技术落后，或者完全就是硬件的限制：内存不足，或 CPU 太慢，不足以支持这些软件的新版本。”

“为了保护他们的设备免受蠕虫感染，用户需要确认这些设备是否运行在最新的固件版本上，必要的话，升级固件，设置高强度的管理员密码，在防火墙那儿，或任何独立的设备那儿，屏蔽任何对 -/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi and -/cgi-bin/php4 的 HTTP POST 请求。”没完没了的赛门铁克研究员说道。

via: http://www.computerworld.com/s/article/9244409/This_new_worm_targets_Linux_PCs_and_embedded_devices?taxonomyId=122

译者：bazz2 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

美国国家安全局（NSA）被指他们曾经要求Linux的创始人，Linus Torvalds，在GNU/Linux中建立一个他们可以访问的“后门”。

这绝非谣言，Linus的父亲，Nils Torvalds如此说道。（译注：也许Nils可以算做是Linux的祖父？好吧，我是标题党，啦啦啦~ :D 无论如何，感谢他生了一个好儿子！ ）

作为欧洲议会（MEP）的成员之一，Nils出席了最近关于“欧盟公民监视问题”的委员会质询会议。根据爱德华·斯诺登泄露出的一些NSA文档，委员会对文档中列出的一些公司代表就所谓的“合作”进行了质询。

同属欧洲议会成员的瑞典盗版党主席Christian Engström就质问微软的发言人，其公司是否曾主动为NSA在他们的系统中植入过“后门”，（译者注：盗版党是一个以废除专利制度、维护公民隐私为宗旨的民间自发政党，最先在瑞典出现，传送门→盗版党百度百科）。之后，Nils Torvalds说道：

我的长子[Linus Torvalds]也被问到了同样的问题 —— “NSA是否曾要求他植入后门？”，当时他口中回答“No”，但同时却在点头。我的儿子有某种程度上的法律自由，他已经给出了正确的回答…… 每个人都明白，NSA的确曾要求他这么干过！

如果这段描述让你觉着耳熟，你可以看下Youtube上关于这一段的视频片段。后来Linus坚称他当时只是开玩笑，NSA并没有为此找过他。

但是，根据11月11号质询会议上的发言看来，他的父亲并不这么想。

根据文档，Google、Yahoo!、Facebook，的确还有微软，都在NSA要求提供“后门”的合作公司之列，这一发现，虽不足以震惊全世界，但事实上，从大局考虑还是有意义的。毕竟，凭什么说NSA不会要求Linus这么做呢？

Nils并没有解释Linus具体是如何回应的 —— 但我估计，这说明了两个问题，首先我们至少可以肯定的一点是，开源世界一直在努力防范类似事情成为可能；

其次，如果真的有某些漏洞存在，NSA长长的触手早就已经把你的压箱底私房钱翻个底儿掉了。

via: http://www.omgubuntu.co.uk/2013/11/nsa-ask-linus-torvalds-include-backdoors-linux-father-says-yes

译者：Mr小眼儿 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出