- Специальный корреспондент
Ошибка превращает систему безопасности Linux в инструмент для кражи данных.
Специалисты по безопасности из компании SUSE критическую уязвимость в клиенте для . Проблема позволяет любому пользователю системы настроить собственное -подключение, перенаправить сетевой трафик и нарушить существующие VPN-настройки, что особенно опасно на компьютерах с несколькими пользователями.
Уязвимость была обнаружена в ходе проверки безопасности, когда команда SUSE решила добавить клиент Mozilla VPN в дистрибутив Linux openSUSE Tumbleweed. В ходе стандартной процедуры проверки безопасности команда обнаружила, что VPN-сервис содержит привилегированную службу , работающую от имени , и политику Polkit ( авторизации для привилегированных программ).
Специалисты отмечают, что из-за того, как написана проверка аутентификации, для выполнения действия код просит Polkit определить, авторизована ли привилегированная служба D-Bus Mozilla VPN, а не пользователь. Поскольку служба D-Bus работает с правами root, проверка авторизации всегда возвращает true. Это означает, что вызов D-Bus будет работать для любой учетной записи пользователя, независимо от привилегий.
В контексте уязвимости в клиенте Mozilla VPN для Linux служба D-Bus используется для обработки запросов на подключение к VPN и других связанных операций. Проблема заключается в том, что служба была некорректно настроена, что позволило любому пользователю системы выполнить действия, которые обычно требуют привилегий администратора.
Проблема была приватно раскрыта Mozilla 4 мая, но SUSE не получила никакой дальнейшей информации до 12 июня, когда узнала, что уязвимость была раскрыта в в репозиторий Mozilla VPN на .
Уязвимости присвоен идентификатор . Представитель Mozilla сообщил, что организация планирует поделиться дополнительной информацией в ближайшее время. Пользователи Mozilla VPN на Linux должны быть осведомлены о данной уязвимости и следить за обновлениями, чтобы установить исправление, как только оно станет доступно.
Специалисты по безопасности из компании SUSE критическую уязвимость в клиенте для . Проблема позволяет любому пользователю системы настроить собственное -подключение, перенаправить сетевой трафик и нарушить существующие VPN-настройки, что особенно опасно на компьютерах с несколькими пользователями.
Уязвимость была обнаружена в ходе проверки безопасности, когда команда SUSE решила добавить клиент Mozilla VPN в дистрибутив Linux openSUSE Tumbleweed. В ходе стандартной процедуры проверки безопасности команда обнаружила, что VPN-сервис содержит привилегированную службу , работающую от имени , и политику Polkit ( авторизации для привилегированных программ).
Специалисты отмечают, что из-за того, как написана проверка аутентификации, для выполнения действия код просит Polkit определить, авторизована ли привилегированная служба D-Bus Mozilla VPN, а не пользователь. Поскольку служба D-Bus работает с правами root, проверка авторизации всегда возвращает true. Это означает, что вызов D-Bus будет работать для любой учетной записи пользователя, независимо от привилегий.
В контексте уязвимости в клиенте Mozilla VPN для Linux служба D-Bus используется для обработки запросов на подключение к VPN и других связанных операций. Проблема заключается в том, что служба была некорректно настроена, что позволило любому пользователю системы выполнить действия, которые обычно требуют привилегий администратора.
Проблема была приватно раскрыта Mozilla 4 мая, но SUSE не получила никакой дальнейшей информации до 12 июня, когда узнала, что уязвимость была раскрыта в в репозиторий Mozilla VPN на .
Уязвимости присвоен идентификатор . Представитель Mozilla сообщил, что организация планирует поделиться дополнительной информацией в ближайшее время. Пользователи Mozilla VPN на Linux должны быть осведомлены о данной уязвимости и следить за обновлениями, чтобы установить исправление, как только оно станет доступно.
