Masowa dystrybucja podatności, czyli jak pada mit bezpiecznego Linuksa

Jest taki system operacyjny, w którym krytyczne błędy pojawiają się kilka razy na... dzień. Tak, w ciągu jednego dnia odkrywa się tam kilka krytycznych błędów pozwalających na przejęcie lub zdestabilizowanie systemu. Panie i Panowie, oto Fedora!

Fedora to dystrybucja tworzona pod egidą Fedora Project, finansowana między innymi przez RedHata. Tak jak reszta systemów opartych na Linuksie, cieszy się opinią bezpiecznego. Ze względu na przeszłość Fedory, jej stabilność często była poddawana w wątpliwość, ale wiecie, jak to prawią stare legendy: Linux, więc bezpieczny i stabilny jak skała. O stabilności nie ma sensu się rozwodzić, każdy wie, że wystarczy błąd w sterowniku grafiki, albo podsystemie dźwięku, żeby rozłożyć prawie każdą dystrybucję. Sprawdźmy, jak miewa się legendarne bezpieczeństwo, oparte na otwartym kodzie.

Fedora - Codziennie Nowe Podatności

Od początku roku 2021, znaleziono, uwaga, 136 błędów w większości oznaczonych jako Critical lub High! Nie, nie w ciągu całego kalendarzowego roku, te błędy odnaleziono w styczniu, lutym i marcu tego roku. Nowicjuszom wypada wyjaśnić, że nie są to tylko błędy w jądrze Linuksa, to błędy odnalezione w całej dystrybucji. To oznacza, że nie wszystkie błędy dotkną każdego użytkownika, bo nie każdy ma zainstalowane te same pakiety. Bez obawy, jest tego tyle, że starczy dla każdego. Oczywiście w samym Linuksie również dużo się działo, ale o tym innym razem.

Warto zaznaczyć, że ten fatalny bilans nie ogranicza się tylko do jednej dystrybucji, bo przecież jest to zgrabna kolekcja błędów znalezionych w wolnym oprogramowaniu będącym fundamentem wszystkich innych dystrybucji. Biorąc pod uwagę fakt, że te wszystkie dystrybucje bazują na tym samym oprogramowaniu mamy do czynienia z zalewem dziur powielanych setki razy.

Ze względu na ograniczenia techniczne i brak miejsca, nie będę opisywał każdego błędu z osobna, prędzej usunęlibyście swoje partycje z Linuksem i osiwieli, niż przeczytali wszystkie szczegóły. Oczywiście samej listy nie może zabraknąć. Oto pierwsza, gorąca setka (resztę sami znajdziecie bez trudu), trzymajcie się, zaczynamy od tych jeszcze cieplutkich!

• CVE-2021-21300 7.5 - High - Marzec 09, 2021
• CVE-2021-3420 9.8 - Critical - Marzec 05, 2021
• CVE-2020-25639 4.4 - Medium - Marzec 04, 2021
• CVE-2021-3404 7.8 - High - Marzec 04, 2021
• CVE-2021-3403 7.8 - High - Marzec 04, 2021
• CVE-2020-25647 7.6 - High - Marzec 03, 2021
• CVE-2020-25632 8.2 - High - Marzec 03, 2021
• CVE-2020-27749 6.7 - Medium - Marzec 03, 2021
• CVE-2020-14372 7.5 - High - Marzec 03, 2021
• CVE-2021-20233 8.2 - High - Marzec 03, 2021
• CVE-2021-20225 6.7 - Medium - Marzec 03, 2021
• CVE-2020-27779 7.5 - High - Marzec 03, 2021
• CVE-2021-3197 9.8 - Critical - Luty 27, 2021
• CVE-2020-28243 7.8 - High - Luty 27, 2021
• CVE-2021-3144 9.1 - Critical - Luty 27, 2021
• CVE-2021-25281 9.8 - Critical - Luty 27, 2021
• CVE-2021-25284 4.4 - Medium - Luty 27, 2021
• CVE-2021-3148 9.8 - Critical - Luty 27, 2021
• CVE-2020-35662 7.4 - High - Luty 27, 2021
• CVE-2020-28972 5.9 - Medium - Luty 27, 2021
• CVE-2021-25282 9.1 - Critical - Luty 27, 2021
• CVE-2021-25283 9.8 - Critical - Luty 27, 2021
• CVE-2021-27803 7.5 - High - Luty 26, 2021
• CVE-2021-20203 3.2 - Low - Luty 25, 2021
• CVE-2021-3406 9.8 - Critical - Luty 25, 2021
• CVE-2021-3405 6.5 - Medium - Luty 23, 2021
• CVE-2021-20247 7.4 - High - Luty 23, 2021
• CVE-2021-21157 8.8 - High - Luty 22, 2021
• CVE-2021-21149 8.8 - High - Luty 22, 2021
• CVE-2021-21156 8.8 - High - Luty 22, 2021
• CVE-2021-21151 9.6 - Critical - Luty 22, 2021
• CVE-2021-21152 8.8 - High - Luty 22, 2021
• CVE-2021-21154 9.6 - Critical - Luty 22, 2021
• CVE-2021-21155 9.6 - Critical - Luty 22, 2021
• CVE-2021-21153 8.8 - High - Luty 22, 2021
• CVE-2021-21150 9.6 - Critical - Luty 22, 2021
• CVE-2020-8625 8.1 - High - Luty 17, 2021
• CVE-2021-22174 7.5 - High - Luty 17, 2021
• CVE-2021-22173 7.5 - High - Luty 17, 2021
• CVE-2021-26933 5.5 - Medium - Luty 17, 2021
• CVE-2021-26932 5.5 - Medium - Luty 17, 2021
• CVE-2021-26931 5.5 - Medium - Luty 17, 2021
• CVE-2021-26934 7.8 - High - Luty 17, 2021
• CVE-2021-26930 7.8 - High - Luty 17, 2021
• CVE-2021-23336 5.9 - Medium - Luty 15, 2021
• CVE-2020-35498 7.5 - High - Luty 11, 2021
• CVE-2020-13575 7.5 - High - Luty 10, 2021
• CVE-2020-13577 7.5 - High - Luty 10, 2021
• CVE-2020-13578 7.5 - High - Luty 10, 2021
• CVE-2020-13576 9.8 - Critical - Luty 10, 2021
• CVE-2020-13574 7.5 - High - Luty 10, 2021
• CVE-2021-0326 7.5 - High - Luty 10, 2021
• CVE-2021-27135 9.8 - Critical - Luty 10, 2021
• CVE-2021-26937 9.8 - Critical - Luty 09, 2021
• CVE-2021-21148 8.8 - High - Luty 09, 2021
• CVE-2021-21147 4.3 - Medium - Luty 09, 2021
• CVE-2021-21146 9.6 - Critical - Luty 09, 2021
• CVE-2021-21142 9.6 - Critical - Luty 09, 2021
• CVE-2021-21144 8.8 - High - Luty 09, 2021
• CVE-2021-21145 8.8 - High - Luty 09, 2021
• CVE-2021-21143 8.8 - High - Luty 09, 2021
• CVE-2021-26925 5.4 - Medium - Luty 09, 2021
• CVE-2020-36148 6.5 - Medium - Luty 08, 2021
• CVE-2020-36149 6.5 - Medium - Luty 08, 2021
• CVE-2020-36151 6.5 - Medium - Luty 08, 2021
• CVE-2020-36152 8.8 - High - Luty 08, 2021
• CVE-2020-36150 6.5 - Medium - Luty 08, 2021
• CVE-2020-36242 9.1 - Critical - Luty 07, 2021
• CVE-2020-14312 5.9 - Medium - Luty 06, 2021
• CVE-2021-21289 8.3 - High - Luty 02, 2021
• CVE-2021-3281 5.3 - Medium - Luty 02, 2021
• CVE-2021-3347 7.8 - High - Styczeń 29, 2021
• CVE-2021-3325 9.8 - Critical - Styczeń 27, 2021
• CVE-2021-3272 5.5 - Medium - Styczeń 27, 2021
• CVE-2021-3156 7.8 - High - Styczeń 26, 2021
• CVE-2021-3308 5.5 - Medium - Styczeń 26, 2021
• CVE-2021-3114 6.5 - Medium - Styczeń 26, 2021
• CVE-2021-3115 7.5 - High - Styczeń 26, 2021
• CVE-2020-25687 5.9 - Medium - Styczeń 20, 2021
• CVE-2020-25681 8.1 - High - Styczeń 20, 2021
• CVE-2020-25686 3.7 - Low - Styczeń 20, 2021
• CVE-2020-25682 8.1 - High - Styczeń 20, 2021
• CVE-2020-25685 3.7 - Low - Styczeń 20, 2021
• CVE-2020-25683 5.9 - Medium - Styczeń 20, 2021
• CVE-2020-25684 3.7 - Low - Styczeń 20, 2021
• CVE-2021-2010 4.2 - Medium - Styczeń 20, 2021
• CVE-2021-2009 4.9 - Medium - Styczeń 20, 2021
• CVE-2021-2021 4.9 - Medium - Styczeń 20, 2021
• CVE-2021-2012 4.9 - Medium - Styczeń 20, 2021
• CVE-2021-2020 6.5 - Medium - Styczeń 20, 2021
• CVE-2021-2022 4.4 - Medium - Styczeń 20, 2021
• CVE-2021-2002 4.9 - Medium - Styczeń 20, 2021
• CVE-2021-2001 4.9 - Medium - Styczeń 20, 2021
• CVE-2021-2016 4.9 - Medium - Styczeń 20, 2021
• CVE-2021-2007 3.7 - Low - Styczeń 20, 2021
• CVE-2021-2019 2.7 - Low - Styczeń 20, 2021
• CVE-2021-1998 3.8 - Low - Styczeń 20, 2021
• CVE-2021-2006 5.3 - Medium - Styczeń 20, 2021
• CVE-2021-2011 5.9 - Medium - Styczeń 20, 2021
• CVE-2020-14409 7.8 - High - Styczeń 19, 2021

Zestawienie powstało (na podstawie listy mailingowej Fedory) trzy dni temu, więc możecie spokojnie założyć, że liczba odnalezionych błędów wzrosła.

Jak widać, każdy dzień to okazja do wypróbowania nowej podatności, a od krytycznych błędów aż się roi. Podniesienie uprawnień? Proszę bardzo. Destabilizacja systemu? Czemu nie? Przejęcie kontroli? Jak najbardziej.

Najwyższa pora skończyć z mitem "bezpiecznego Linuksa" i zamiast na mokrych fantazjach neofitów, opierać się na twardych faktach: otwarty kod nikogo przed niczym nie chroni, Linux sam w sobie nie zapewnia bezpieczeństwa. Na dodatek, pieczołowicie budowana mitologia wprowadza w błąd niedoświadczonych użytkowników i obniża ich czujność. Pomyślcie co się dzieje w dystrybucjach typu "rolling release", gdzie ładuje się byle co i byle jak, o ile nie wywala systemu po godzinie testowania! Szok i niedowierzanie, że ktoś poleca to uczciwym, a nieświadomym ciotkom, wujkom, a nawet własnym matkom. Jakim trzeba być człowiekiem, żeby robić to swoim bliskim... Czy system oparty na dziurawym jądrze opakowanym w dziurawe i niedopracowane oprogramowanie można nazwać bezpiecznym? Niech każdy odpowie sobie sam.

A, zapomniałbym, w Windows też są błędy, czasami nawet drukować się nie da!