Американская Qualys обнаружила в открытой операционной системе Linux уязвимость, существующую с 2009 года. Она может проявиться и в российских ОС на базе Linux, которые установлены в банках, на промышленных объектах и в госсекторе, считают эксперты
Qualys выявила уязвимость в Linux, позволяющую любому пользователю получить привилегии администратора, сообщил директор по исследованию уязвимостей и угроз американской компании по кибербезопасности Бхарат Джоги.
Уязвимость обнаружена в компоненте pkexec (графический интерфейс) в стандартных установках Ubuntu, Debian, Fedora и CentOS, но другие дистрибутивы Linux, вероятно, также уязвимы. «Эта уязвимость скрывалась на виду более 12 лет и затрагивает все версии pkexec начиная с его первой версии в мае 2009 года», — отметил Джоги.
Старший исследователь угроз кибербезопасности «Лаборатории Касперского» Борис Ларин сообщил «Коммерсанту», что уязвимость присутствует и в некоторых российских дистрибутивах Linux. «Мишенью могут быть банки, промышленные предприятия и госсектор», — отметил руководитель центра мониторинга и реагирования на инциденты «Инфосистемы Джет» Алексей Мальнев.
На российских операционных системах, созданных на базе Linux, в том числе Astra Linux и «Ред ОС», работают большинство систем корпоративного уровня и госучреждения, отмечает издание. МВД России в январе 2020 года закупило компьютеры на Astra Linux на 1,4 млрд рублей, напоминает «Коммерсантъ».
Ведущий специалист отдела исследований безопасности ОС Positive Technologies Александр Попов отметил, что уже через несколько часов после того, как стало известно об уязвимости, дистрибутивы Linux начали выпускать обновления безопасности. Замгендиректора российской ГК Astra Linux Юрий Соснин сообщил газете, что для ОС Astra Linux Special Edition уязвимость неактуальна, если пользователи используют штатные средства защиты. Он заверил, что недостаток в коде ядра «устранят в ближайших обновлениях». Замгендиректора «Ред Софт» Рустам Рустамов успокоил заказчиков, отметив, что необходимое обновление безопасности уже выпущено.