ಲಿನಕ್ಸ್ನಲ್ಲಿ ಗಂಭೀರ ನ್ಯೂನತೆಗಳು ಪತ್ತೆಯಾಗಿದೆ

by ಟೋನಿ ಬ್ರಾಡ್ಲಿ, CISSP, MCSE2k, MCSA, A +

ಓಪನ್ ಸೋರ್ಸ್ ಸೆಕ್ಯುರಿಟಿ ಟೀಕೆಗೆ ಕಾರಣವಾಗಿದೆ

ಕಳೆದ ವಾರ ಪೋಲಿಸ್ ಸೆಕ್ಯುರಿಟಿ ಸಂಸ್ಥೆಯ ಐಎಸ್ಸಿ ಸೆಕ್ಯೂರಿಟಿ ರಿಸರ್ಚ್ ಇತ್ತೀಚಿನ ಲೈನಕ್ಸ್ ಕರ್ನಲ್ನಲ್ಲಿ ಮೂರು ಹೊಸ ದೋಷಗಳನ್ನು ಘೋಷಿಸಿತು. ಇದು ಆಕ್ರಮಣಕಾರರಿಗೆ ಯಂತ್ರದ ಮೇಲಿನ ಸೌಲಭ್ಯಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಮತ್ತು ನಿರ್ವಾಹಕರಾಗಿ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.

ಕಳೆದ ಕೆಲವೇ ತಿಂಗಳುಗಳಲ್ಲಿ ಲಿನಕ್ಸ್ನಲ್ಲಿ ಪತ್ತೆಯಾದ ಗಂಭೀರ ಅಥವಾ ನಿರ್ಣಾಯಕ ಭದ್ರತಾ ದೋಷಗಳ ಸರಣಿಗಳಲ್ಲಿ ಇದು ಇತ್ತೀಚಿನದು. ಮೈಕ್ರೋಸಾಫ್ಟ್ನ ಬೋರ್ಡ್ ರೂಮ್ ಬಹುಶಃ ಕೆಲವು ಮನೋರಂಜನೆಯನ್ನು ಪಡೆಯುತ್ತಿದೆ, ಅಥವಾ ಮುಕ್ತ ಪರಿಹಾರವನ್ನು ಹೆಚ್ಚು ಸುರಕ್ಷಿತವೆಂದು ಭಾವಿಸುವ ಮತ್ತು ಇನ್ನೂ ಈ ನಿರ್ಣಾಯಕ ನ್ಯೂನತೆಗಳು ಕಂಡುಬಂದಿಲ್ಲ ಎಂದು ವಿರೋಧಾಭಾಸದಿಂದ ಕನಿಷ್ಠ ಪರಿಹಾರ ದೊರೆಯುತ್ತದೆ.

ತೆರೆದ ಮೂಲ ಸಾಫ್ಟ್ವೇರ್ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಹೆಚ್ಚು ಸುರಕ್ಷಿತವಾಗಿದೆ ಎಂದು ಹೇಳಿಕೊಳ್ಳಲು ನನ್ನ ಅಭಿಪ್ರಾಯದಲ್ಲಿ ಇದು ಮಾರ್ಕ್ ಅನ್ನು ಕಳೆದುಕೊಳ್ಳುತ್ತದೆ. ಆರಂಭಿಕರಿಗಾಗಿ, ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಸಂರಚಿಸುವ ಮತ್ತು ನಿರ್ವಹಿಸುವ ಬಳಕೆದಾರ ಅಥವಾ ನಿರ್ವಾಹಕರಂತೆ ಮಾತ್ರ ಸುರಕ್ಷಿತವಾಗಿದೆ ಎಂದು ನಾನು ನಂಬುತ್ತೇನೆ. ಲಿನಕ್ಸ್ ಪೆಟ್ಟಿಗೆಯಿಂದ ಹೆಚ್ಚು ಸುರಕ್ಷಿತವಾದುದು ಎಂದು ಕೆಲವರು ವಾದಿಸಬಹುದಾದರೂ, ಕ್ಲೂಲೆಸ್ ಲಿನಕ್ಸ್ ಬಳಕೆದಾರರು ಕ್ಲೂಲೆಸ್ ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿಂಡೋಸ್ ಬಳಕೆದಾರನಂತೆ ಅಸುರಕ್ಷಿತರಾಗಿದ್ದಾರೆ.

ಅಭಿವರ್ಧಕರು ಇನ್ನೂ ಮಾನವರಾಗಿದ್ದಾರೆ ಎಂಬುದು ಇದರ ಇತರ ಅಂಶವಾಗಿದೆ. ಒಂದು ಕಾರ್ಯಾಚರಣಾ ವ್ಯವಸ್ಥೆಯನ್ನು ರೂಪಿಸುವ ಸಾವಿರಾರು ಮತ್ತು ಲಕ್ಷಗಟ್ಟಲೆ ಸಾಲುಗಳ ಸಾಲಿನಲ್ಲಿ ಯಾವುದೋ ತಪ್ಪಾಗಬಹುದು ಎಂದು ಹೇಳಲು ನ್ಯಾಯೋಚಿತವಾಗಿ ತೋರುತ್ತದೆ ಮತ್ತು ಅಂತಿಮವಾಗಿ ಒಂದು ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗುತ್ತದೆ.

ಇದರಲ್ಲಿ ತೆರೆದ ಮೂಲ ಮತ್ತು ಸ್ವಾಮ್ಯದ ನಡುವಿನ ವ್ಯತ್ಯಾಸವಿದೆ. EEye ಡಿಜಿಟಲ್ ಭದ್ರತೆಯಿಂದ ASN.1 ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ ದೋಷಗಳ ಬಗ್ಗೆ ಮೈಕ್ರೋಸಾಫ್ಟ್ಗೆ ತಿಳಿಸಲಾಯಿತು. ಎಂಟು ತಿಂಗಳ ಮುಂಚಿತವಾಗಿ ಅವರು ಸಾರ್ವಜನಿಕವಾಗಿ ದುರ್ಬಲತೆಯನ್ನು ಪ್ರಕಟಿಸಿದರು ಮತ್ತು ಪ್ಯಾಚ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದರು. ಆ ಎಂಟು ತಿಂಗಳುಗಳು ಆ ಸಮಯದಲ್ಲಿ ಕೆಟ್ಟ ಜನರು ಪತ್ತೆಹಚ್ಚಿ ಮತ್ತು ನ್ಯೂನತೆಯನ್ನು ಬಳಸಿಕೊಂಡರು.

ಮತ್ತೊಂದೆಡೆ ಓಪನ್ ಸೋರ್ಸ್ ಪ್ಯಾಚ್ ಮಾಡಲು ಮತ್ತು ಹೆಚ್ಚು ವೇಗವಾಗಿ ನವೀಕರಿಸುತ್ತದೆ. ಸೋರ್ಸ್ ಕೋಡ್ನ ಪ್ರವೇಶದೊಂದಿಗೆ ಹಲವು ಅಭಿವರ್ಧಕರು ಇವೆ, ಒಮ್ಮೆ ದೋಷ ಅಥವಾ ದುರ್ಬಲತೆ ಪತ್ತೆಯಾದರೆ ಮತ್ತು ಪ್ಯಾಚ್ ಅಥವಾ ಅಪ್ಡೇಟ್ ಅನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಬಿಡುಗಡೆ ಮಾಡಲಾಗುವುದು. ಲಿನಕ್ಸ್ ಕುಸಿದಿದೆ, ಆದರೆ ತೆರೆದ ಮೂಲ ಸಮುದಾಯವು ಸಮಸ್ಯೆಗಳಿಗೆ ಹೆಚ್ಚು ಕ್ಷಿಪ್ರವಾಗಿ ಪ್ರತಿಕ್ರಿಯಿಸುವಂತೆ ತೋರುತ್ತದೆ ಮತ್ತು ಸೂಕ್ತವಾದ ನವೀಕರಣಗಳೊಂದಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುವುದರಿಂದ ಬದಲಾಗಿ ದುರ್ಬಲತೆಯ ಅಸ್ತಿತ್ವವನ್ನು ಮುಚ್ಚಲು ಪ್ರಯತ್ನಿಸುವುದಕ್ಕಿಂತಲೂ ಅವುಗಳು ವ್ಯವಹರಿಸುವಾಗ ತನಕ ಪ್ರತಿಕ್ರಿಯಿಸುತ್ತವೆ.

ಲಿನಕ್ಸ್ ಬಳಕೆದಾರರಿಗೆ ಈ ಹೊಸ ದೋಷಗಳ ಕುರಿತು ಅರಿವು ಇರಬೇಕು ಮತ್ತು ಅವರು ತಮ್ಮದೇ ಆದ ಲಿನಕ್ಸ್ ಮಾರಾಟಗಾರರಿಂದ ಇತ್ತೀಚಿನ ಪ್ಯಾಚ್ಗಳು ಮತ್ತು ನವೀಕರಣಗಳನ್ನು ತಿಳಿಸಬೇಕೆಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ. ಈ ನ್ಯೂನತೆಗಳನ್ನು ಹೊಂದಿರುವ ಒಂದು ಕೇವ್ಟ್ ಅವರು ದೂರದಿಂದ ಶೋಷಣೆಗೆ ಒಳಗಾಗುವುದಿಲ್ಲ. ಅಂದರೆ, ಈ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ವ್ಯವಸ್ಥೆಯನ್ನು ಆಕ್ರಮಣ ಮಾಡುವವರು ಯಂತ್ರಕ್ಕೆ ಭೌತಿಕ ಪ್ರವೇಶವನ್ನು ಹೊಂದಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅಗತ್ಯವಿರುತ್ತದೆ.

ಆಕ್ರಮಣಕಾರರಿಗೆ ಒಂದು ಕಂಪ್ಯೂಟರ್ಗೆ ಭೌತಿಕ ಪ್ರವೇಶವನ್ನು ಒಮ್ಮೆ ಕೈಗವಸುಗಳು ಆಫ್ ಆಗಿವೆ ಮತ್ತು ಯಾವುದೇ ಭದ್ರತೆಯು ಅಂತಿಮವಾಗಿ ದಾಟಿ ಹೋಗಬಹುದು ಎಂದು ಅನೇಕ ಭದ್ರತಾ ತಜ್ಞರು ಒಪ್ಪುತ್ತಾರೆ. ದೂರದಲ್ಲಿರುವ ವ್ಯವಸ್ಥೆಗಳಿಂದ ಅಥವಾ ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ಗೆ ಹೊರಗಿನ ವ್ಯವಸ್ಥೆಗಳಿಂದ ಆಕ್ರಮಣ ಮಾಡಬಹುದಾದ ದೋಷಪೂರಿತವಾದ ದುರ್ಬಳಕೆ-ದೋಷಗಳನ್ನು ಇದು ಹೆಚ್ಚು ಅಪಾಯವನ್ನುಂಟುಮಾಡುತ್ತದೆ.

ಹೆಚ್ಚಿನ ಮಾಹಿತಿಗಾಗಿ ಐಸೆಕ್ ಸೆಕ್ಯುರಿಟಿ ರಿಸರ್ಚ್ನಿಂದ ಈ ಲೇಖನದ ಬಲಕ್ಕೆ ವಿವರವಾದ ದುರ್ಬಲತೆ ವಿವರಣೆಗಳನ್ನು ಪರಿಶೀಲಿಸಿ.

Alike posts

See Newest

Sapid posts