X
广告
首页 > 业界 > 关键词  > 漏洞最新资讯  > 正文

微软Azure默认Linux配置曝出严重的远程代码执行漏洞

2021-09-16 13:20 · 稿源: cnbeta

尽管微软表示深爱 Linux,但这点并没有在 Azure 云端得到很好的贯彻。Wiz 安全研究团队近日指出,他们在诸多流行的 Azure 服务中,发现了开放管理基础设施(OMI)软件代理中存在的一系列严重漏洞。问题在于当 Azure 客户在云端设置 Linux 虚拟机服务时,OMI 代理会在他们不知情的情况下自动部署。

0.jpg

(来自:Wiz Research)

但除非及时打上了补丁,否者攻击者就能够利用四个漏洞来获得提升后的 root 权限,从而远程执行任意恶意代码(比如加密文件以勒索赎金)。

1.jpg

更糟糕的是,黑客只需发送一个剔除了身份验证标头的数据包,即可渗透并取得远程机器上的 root 访问权限。若 OMI 开放了 5986、5985 或 1270 端口,系统就更容易受到攻击。

2.gif

据悉,由于一个简单的条件语句编程错误、结合未初始化的 auth 结构,任何缺乏 Authorization 标头的请求,都被默认赋予了 uid=0、gid=0 的 root 级别权限。

3.gif

Wiz 将该漏洞称作“OMIGOD”,并推测 Azure 上多达 65% 的 Linux 部署都受到影响。庆幸的是,微软已经发布了 1.6.8.1 修补版本的 OMI 软件代理,同时建议客户手动执行更新。

4.jpg

最后,Wiz 建议用户酌情选择是否允许 OMI 监听 5985、5986、1270 这三个端口。如非必要,还请立即限制对这些端口的访问,以封堵 CVE-2021-38647 远程代码执行(RCE)漏洞。

  • 相关推荐
  • 大家在看
  • 微软和AMD下周将修补Windows11电脑上的Ryzen漏洞

    AMD确认了一个与运行在Windows11上的CPU有关的性能问题。增加的三级缓存延迟和次优线程调度可能会导致某些CPU的性能下降10-15%该公司已经在进行修复,应该很快就能准备好。微软计划在10月19日发布更新,随后在10月21日AMD发布驱动程序更新,因此我们很有可能在下周四看到问题得到解决在此之前,微软表示不会将Windows11推到AMD Ryzen驱动的设备上,并建议这类电脑的用户不要手动更新

  • 华为发自研鸿蒙编程语言

    在今日的华为开发者大会2021上,华为表示,将发布自研鸿蒙编程语言。今年9月,华为副总裁、计算产品线总裁邓泰华在接受采访时表示,华为明年将推出自研的编程语言仓颉,打通鸿蒙和欧拉应用开发生态。<br/> <br/>

  • 账号租售成为了防沉迷的漏洞

    ​10月19日,腾讯游戏对外披露,在“腾讯守护者计划”安全团队的协助下,南京建邺警方近日在江苏、河南、安徽、湖南等地捣毁了多个通过非法买卖个人信息进行游戏账号非法租赁的犯罪团伙,涉案人数达40多人,平台涉案金额超过百万元。

  • PHP 是最糟糕编程语言?

    PHP是一门有趣的编程语言。语言与利用语言构建的程序通常属于两种设计理念。这里我指的不是瀑布式或敏捷之类的软件开发生命周期,而是软件管理的基本思想。有人将这些思想称为“正确的方式”以及“Worse is Better”。

  • 华为在HDC2021举办首次少儿编程大赛 花瓣少儿编程让青少年轻松实现物联生活

    【 2021 年 10 月 23 日,深圳】今日,华为在开发者大会2021(Together)Codelabs现场举办主题为“智慧生活畅想家”的编程大赛,花瓣少儿编程作为挑战赛指定少儿编程产品平台。不同于常见的编程平台,青少年在现场可通过积木式图形化编程控制以往需要专业能力才能控制的各种智能设备、AI服务,亲手实现各种奇思妙想的解决方案。最终产生了 22 名获奖者,并由消费者BG战略规划部部长蔡觉婷为他们颁奖。参赛选手在HDC现场合影花瓣少?

  • 华为将发布自研鸿蒙编程语言 网友:建议用汉语

    今天。在华为开发者大会上,HarmonyOS3开发者预览版正式发布。同时,在大会上,华为消费者业务软件部总裁龚体宣布,华为将发布为HarmonyOS全新研发的编程语言。

  • 华为:将发布自研鸿蒙编程语言、补上基础生态最后一环

    据华为终端官微,在今天下午的HDC2021(华为开发者大会)上,华为透露将发布自研鸿蒙编程语言,为鸿蒙生态基础设施建设补上最后一环。预计这款编程语言将是HarmonyOS 3的重要支撑,也将为未来鸿蒙生态的完善添砖加瓦。按照此前9月份,华为副总裁、计算产品线总裁邓泰华在全联接大会上的说法,这款自研编程语言应该就是仓颉,它的意义还在于,可以将鸿蒙和欧拉在应用开发生态上进行打通。会上,华为表示,JavaScript语言受欢迎程度?

  • 骁龙AI Engine异构计算带来可编程架构,赋能顶级终端AI体验

    最近这几年,即使是对智能手机体验再不敏感的人,也逐渐感受到了手机变得越来越智能了。这个“智能”可不仅仅限于在拍照时变个脸,在语音通话时变个声,或者时不时乖乖执行的手机语音助手各种各样的小命令。手机AI智能表现已经润物无声地渗透在手机使用中的方方面面了。智能手机之所以有如此精彩的AI应用表现,直接来源就是手机芯片的AI算力支撑。目前看来,高通全新一代的旗舰芯片骁龙 888 在AI方面的升级还是十分到位的。在鲁大?

  • iOS 15.1即将发布,发现更多iOS 15漏洞

    iOS 15的发布并不是一帆风顺的,因为许多早期的bug突然出现了。其中最让人恼火的是,戴着面具时无法用Apple Watch解锁iPhone。在某些情况下,您甚至无法设置上述解锁方法此外,一些用户报告称,摄像头应用程序中的取景器不起作用,触摸时无法唤醒iPhone 13手机,解锁后屏幕无响应(成功识别人脸后无法刷卡),邮件应用程序崩溃苹果已经承认了其中的一些缺陷,甚至在iOS 15.1 beta 2版本的软件中解决了Apple Watch的问题据我们的一?

  • 树莓派展示Build HAT新配件 可轻松编程控制乐高机器人

    树莓派正在推出一款名叫 Build HAT 的新配件,以便用户通过旗下各款低成本的微型计算机,来控制某些乐高机器人的电机和传感器。通过将该组件接入 GPIO 引脚,它可延伸出四个端口。此外树莓派提供了配套软件,可连接到使用 LPF2连接器的大多数部件,包括乐高“心灵风暴”机器人发明家套件中的组件。配套的 Python 库,基本上融合了一组可用于控制机器人的命令,以便用户编写相关软件来连接乐高的 SPIKE 组件。后者带有一套集线器,?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天