48 字节命令可令 Linux 系统当机!?
扫描二维码
随时随地手机看文章
一名系统管理员Andrew Ayer近日在Linux系统中发现一个臭虫,只要输入一行仅仅48个字节的命令,就能让Linux的中央化系统与设定管理程式 systemd 当机。
systemd 为 Linux 启动程序的重要元件,支持众多的 Linux 版本,Ayer 说,只要输入简短的命令
NOTIFY_S OCKET=/run/systemd/notify systemd-notify “”
PID 1 就会在暂停的系统唿叫中停摆,由于 inetd-style 服务不再接受任何的连结,因此也无法启动或停止守护进程(daemons)。此一臭虫将造成使用者不能干净地重启系统,便会让系统变得不稳定。
systemd 维护团队很快就修补了该漏洞。但此次事件中让 Andrew Ayer 与 systemd 开发团队发生了口角,Ayer 认为这是个严重的系统设计缺陷,早在2年前的systemd 209 版本已经发现,systemd 开发团队却忽略此事的严重性,systemd 的问题不只是这个臭虫,他批评开发人员根本不了解软体设计必须要尽量减少臭虫及相关风险的重要性。
另一边厢,身为 systemd 共同维护人 David Timothy Strauss 表示 Ayer 以一个很小的安全问题来批评systemd,相关漏洞必须于本地端执行,仅可造成服务阻断,相较于资讯揭露或权限扩张而言只是个最低等级的安全风险。
Andrew Ayer 与 systemd 开发团队的争执仍在网络上与社交媒体上持续升温。