Ubuntu ประกาศออก patch อุดช่องโหว่ Privilege Escalation ในการใช้งานคำสั่ง Eject โดย version ที่เจอคือ

  • Ubuntu 16.10
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS
  • Ubuntu 12.04 LTS

คำอธิบายของ patch ที่ออกมาคือ การใช้คำสั่ง Eject อาจจะทำให้รันโปรแกรมใดๆโดยใช้สิทธิ์ administrator ได้ ซึ่งรายละเอียดเพิ่มเติมคือ ผู้ที่ค้นพบ Ilja Van Sprundel พบว่า dmcrypt-get-device มีการตรวจสอบ setuid
และ setgid ผิดพลาด. ส่งผลให้ attacker ที่อยู่ในเครื่องอาจใช้ช่องโหว่ดังกล่าวที่จะรันคำสั่งโดย ได้สิทธิ์ administrator ไปเลย

ผู้ที่ใช้งาน Ubuntu version ดังกล่าวสามารถ update kernel เพื่ออุดช่องโหว่ได้เลยครับ

ระบบที่ได้รับผลกระทบ: Ubuntu 16.10 – 12.04 LTS
ผลกระทบ: Privilege Escalation (High Severity)
วิธีแก้ไข: Update Package เป็น version ล่าสุด

Source:: Ubuntu Security