Специалисты компании Qualys сообщили о новой уязвимости в ОС Linux, которая позволяет получить права суперпользователя на большинстве дистрибутивов, в частности, Ubuntu, Debian и Fedora.

Проблема (CVE-2021-33909), получившая название Sequoia, содержится в файловой системе Linux и представляет собой уязвимость чтения за пределами буфера (out-of-bounds read). По словам экспертов, проблема связана с некорректной обработкой длины имени файла. С ее помощью непривилегированный локальный пользователь может запустить код с правами суперпользователя.

Экспертам удалось успешно проэксплуатировать проблему на системах с установленными дистрибутивами Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 и Fedora 34 Workstation. Отмечается, что и Linux другие дистрибутивы Linux, скорее всего, подвержены данной уязвимости.

Компания Canonial представила релиз Ubuntu Core 18, компактного варианта дистрибутива Ubuntu, адаптированного для применения на устройствах интернета вещей (IoT), контейнерах, потребительском и промышленном оборудовании. Ubuntu Core поставляется в форме неделимого монолитного образа базовой системы, в котором не применяется разбивка на отдельные deb-пакеты. Образы Ubuntu Core 18, состав которых синхронизирован с пакетной базой Ubuntu 18.04, подготовлены для систем i386, amd64, ARM (Raspberry Pi 2, Samsung Artik 5, Samsung Artik 10, Orange Pi Zero) и ARM64 (Qualcomm Dragonboard 410c, Raspberry Pi 3). Размер образа 230-260 Мб в зависимости от архитектуры. Заявленное время поддержки Ubuntu Core 18 - 10 лет.

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты.