Ubuntu的崩溃报告工具允许远程代码执行

一名安全研究人员发现，Ubuntu Linux操作系统中存在一个严重漏洞，使得攻击者能够使用恶意文件远程入侵目标计算机。

该漏洞影响所有默认的Ubuntu Linux安装版本12.10（Quantal）及更高版本。

研究人员Donncha O'Cearbhaill发现了Ubuntu上Apport崩溃报告工具中的安全漏洞。

成功利用此CrashDB代码注入问题可使攻击者在受害者的机器上远程执行任意代码。攻击者只需诱骗Ubuntu用户打开一个被恶意诱杀的崩溃文件。

这将在Ubuntu操作系统的崩溃文件处理程序中注入恶意代码，该处理程序在解析时执行任意Python代码。

“代码首先检查CrashDB字段是否以{开头，表示Python字典的开头，”O'Cearbhaill解释道。

“如果找到，Apport将使用CrashDB字段的值调用Python的内置eval（）方法。eval（）将传递的数据作为Python表达式执行，这将导致直接可靠的Python代码执行”。

有缺陷的代码于2012年8月22日在Apport版本2464中引入，最初包含在版本2.6.1中。

O'Cearbhaill已经在GitHub上发布了他的概念验证（PoC）源代码副本。

CrashDB代码注入攻击的视频演示

研究人员还分享了一段视频演示，展示了在恶意文件的帮助下，使用该漏洞可以控制目标Ubuntu box系统。

O'Cearbhaill用一个简单的Apport崩溃报告文件启动了Gnome calculator，并解释说该代码可以用。崩溃扩展或任何其他未在Ubuntu上注册的扩展。

研究人员向Ubuntu团队报告了崩溃报告应用程序漏洞（列为CVE-2016-9949，相关路径遍历漏洞列为CVE-2016-9950），好消息是该团队已于12月14日修补了Ubuntu中的漏洞，O'Cearbhaill获得了1万美元的赏金。

强烈建议Ubuntu Linux台式机的用户和管理员通过通常的更新机制尽快修补他们的系统。