นักวิจัยด้านความปลอดภัยอ้างว่าได้ค้นพบ "วิธีที่ง่ายอย่างน่าประหลาดใจ" โดยไม่ได้ตั้งใจในการได้รับอำนาจการจัดการเหนือการติดตั้ง Ubuntu 20.04 LTS ช่องโหว่นี้ถูกค้นพบโดย Kevin Backhouse จาก GitHub ซึ่งใช้เวลาในการกำจัดช่องโหว่ด้านความปลอดภัยในบริการระบบ Ubuntu เพื่อให้การเผยแพร่ที่เขาต้องการปลอดภัยที่สุดเท่าที่จะเป็นไปได้ เขายอมรับว่าในขณะที่เขาชี้ให้เห็นถึงปัญหาบางอย่าง แต่ปัญหาส่วนใหญ่ค่อนข้างเป็นเรื่องเล็กน้อย จนกระทั่งเขาขุดอันนี้ขึ้นมา “ไม่ใช่เรื่องแปลกที่ช่องโหว่ในระบบปฏิบัติการสมัยใหม่นั้นถูกโจมตีได้ง่ายมาก” เควินเขียน
คำแนะนำในการรักษา
การใช้ช่องโหว่ในการยกระดับสิทธิ์เป็นกระบวนการที่ค่อนข้างซับซ้อน อย่างไรก็ตาม Kevin ค้นพบกลไกที่หลอกการติดตั้ง Ubuntu เพื่อให้ผู้ใช้มาตรฐานสามารถสร้างบัญชีที่มีสิทธิ์สูงกว่าได้ Kevin อธิบายรายละเอียดกระบวนการในบล็อกและโพสต์วิดีโอเกี่ยวกับกระบวนการซึ่งง่ายต่อการทำซ้ำ แน่นอนว่า ตามที่เควินชี้ให้เห็น ผู้โจมตีจำเป็นต้องเข้าถึงเครื่อง Ubuntu ทางกายภาพ การโจมตียังหาช่องโหว่ใน Gnome Display Manager ซึ่งหมายความว่ามันจะทำงานบนการติดตั้ง Ubuntu 20.04 บนเดสก์ท็อปเท่านั้น ช่องโหว่นี้ใช้ประโยชน์จากจุดบกพร่องสองจุดในส่วนประกอบต่างๆ ของการติดตั้ง Ubuntu หนึ่งคือบริการที่จัดการบัญชีผู้ใช้ (บริการบัญชี) และอีกอย่างคือ Gnome Display Manager (gdm3) ที่ดูแลหน้าจอเข้าสู่ระบบ Ubuntu ไม่ใช่เพียงการเผยแพร่เดียวที่ใช้ gdm3 อย่างไรก็ตาม ช่องโหว่ดังกล่าวไม่ส่งผลกระทบต่อผู้อื่นเนื่องจาก Ubuntu ใช้บริการบัญชีเวอร์ชันแก้ไข นอกจากนี้ยังทำให้แก้ไขช่องโหว่ได้ง่ายซึ่งนักพัฒนา Ubuntu ได้ทำไปแล้ว หากคุณใช้ Ubuntu 18.04, 20.04 หรือ 20.10 คุณควรอัปเดตแพ็คเกจ gdm3 จากที่เก็บทันที