Linux tizimlarida xavfli zaiflik aniqlandi: oddiy foydalanuvchi root huquqiga ega bo‘lishi mumkin!

2025-yil iyun oyida axborot xavfsizligi bo‘yicha tadqiqotchilar tomonidan CVE-2025-6019 identifikatorli jiddiy mahalliy (local) zaiflik aniqlangani va u orqali oddiy foydalanuvchi root darajasidagi tizim huquqlarini qo‘lga kiritishi mumkinligi e’lon qilindi. Ushbu zaiflik Fedora, SUSE kabi ko‘plab mashhur Linux distributivlariga ta’sir qiladi.

Zaiflikning ildizi – udisksd nomli disk boshqaruvi uchun javob beruvchi demon va uning backend kutubxonasi bo‘lmish libblockdev komponentlarida. Bu dasturlar D-Bus orqali turli foydalanuvchi so‘rovlarini qayta ishlaydi. Ammo, xavfli jihati shundaki, tizim faqatgina foydalanuvchining “allow_active” guruhiga mansubligiga qarab unga imtiyozli buyruqlarni bajarishga ruxsat beradi, foydalanuvchining haqiqiy kontekstini chuqur tekshirmaydi.

Bu esa xavfsizlik chegarasining buzilishiga olib keladi: faqat guruhga a’zolik orqali oddiy foydalanuvchilar tizimdagi yuqori darajadagi (root) buyruqlarni bajartira oladi.

Zaiflikdan foydalanish juda oson. Foydalanuvchi quyidagi oddiy buyruq orqali tizimda root huquqlarini egallashi mumkin:

udisksctl mount -b /dev/loop0

Tadqiqotchilarning ta’kidlashicha, bu orqali foydalanuvchi disk montaji (ulash) kabi jarayonlarni root huquqlari bilan bajartirishi va hatto butun tizim ustidan nazorat o‘rnatishi mumkin.

Zaiflik deyarli barcha udisks2 va libblockdev komponentlarini ishlatuvchi distributivlarga ta’sir qiladi. Ayniqsa, Fedora va SUSE kabi tizimlar xavf ostida, chunki bu distributivlar foydalanuvchilarni “allow_active” guruhiga avtomatik qo‘shadi – bu esa zaiflikdan foydalanishni juda ham osonlashtiradi.

Linux distributiv ishlab chiquvchilari allaqachon zaruriy xavfsizlik yangilanishlarini chiqarishgan. Yamoq quyidagi asosiy chora-tadbirlarni o‘z ichiga oladi:

  • ✅ Foydalanuvchini tekshirishda faqat guruh a’zoligiga emas, balki UID (foydalanuvchi identifikatori) asosida ham qat’iy verifikatsiya.
  • Polkit qoidalarining kuchaytirilgan nazorati – endi har bir amaliyot uchun aniq siyosat qoidalari talab qilinadi.
  • ✅ Guruhga asoslangan ishonch modeli butunlay o‘zgartirilib, ancha aniq va qat’iy huquq nazorati joriy etilgan.

🧑‍💻 Administratorlar nima qilishlari kerak?

  1. 🔄 Tizimingizdagi udisks2 va libblockdev paketlarini eng so‘nggi versiyalarga yangilang.
  2. 🔐 Tizimdagi “allow_active” guruhiga kiruvchi foydalanuvchilar ro‘yxatini qayta ko‘rib chiqing.
  3. 🛡️ Polkit qoidalarini yangilab, har bir xizmat uchun alohida ruxsat darajalarini belgilang.
  4. 🧾 Auditni kuchaytiring – IPC (Inter Process Communication) orqali ishlovchi xizmatlar xavfsizlik nuqtai nazaridan doimiy tahlil qilinishi lozim.

Bu zaiflik – yana bir bor shuni ko‘rsatadiki, faqat foydalanuvchi guruhiga qarab ishonch bildirish xavfli strategiyadir. Tizim xizmatlari har doim foydalanuvchi kontekstini chuqur tahlil qilishi va qat’iy siyosatga amal qilishi kerak. Aks holda, hatto oddiy foydalanuvchi ham tizimni egallab olishi hech gap emas.

🛠️ Tizimingizni yangilashni kechiktirmang. Bugun qilingan ehtiyot chorasi, ertaga katta muammoning oldini oladi.