بحث میان طرفداران کار در محیط لینوکس و هواخواهان دو آتشه ویندوز در مجموعه طوبی همیشه داغ است. بگو مگوی دوستانه و هیجانانگیزی که این روزها با انتشار خبر آسیب پذیری کشف شده در محیط لینوکس از همیشه داغتر شده است.
از میان تمام سیستم عاملهای ارائه دهنده فضای Open Source، لینوکس بیشترین تعداد کاربران را به خود اختصاص داده است. علیرغم خلاقیت بینظیر توسعه دهندگان این سیستم عامل و توجهشان به امنیت این فضای کاری، همین هفتههای پیش بود که یکی از کاربران به صورت اتفاقی با یک حفره امنیتی وسیع در این سیستم عامل مواجه شد. حفرهای چنان حساس که میتوانست اطلاعات طیف وسیعی از کابران محیط لینوکس را در معرض خطر قرار دهد.
نگاهی دقیقتر به آسیب پذیری کشف شده
قضیه از آن جا شروع که مدتی پیش توسعه دهندگان لینوکس، یکی از ابزارهای پرکاربرد در این سیستم عامل به نام XZ Util را به روز کردند. نام XZ Util شاید برای بسیاری از کسانی که تا به حال تجربه کار در لینوکس را نداشتهاند، چندان آشنا به نظر نرسد. نقش اصلی این ابزار بیشتر مرتبط با فشرده سازی فایلها است و تقریبا در تمامی سیستمهای توزیع کننده فعال لینوکس از جمله ابزارهای مهم به شمار میرود.
بر اساس گزارشArs Technica ، بروز این آسیب پذیری مستقیما به غفلت افرادی برمیگردد که مشغول توسعه این ابزار بودهاند. همین شد که آسیب پذیری در بستر remote log-in لینوکس جا خوش کرد و حتی در فرآیند اسکن کاربری کسی متوجه آن نشد.
چگونه یک کاربر موفق به کشف آسیب پذیری در محیط لینوکس شد؟
آندرس فروند، کاربری است که به صورت اتفاقی توانست این آسیب پذیری را کشف کند. او که به عنوان یک کارمند، با پایگاههای داده مبتنی بر لینوکس سر و کار داشت، طی چند هفته پس از کار با بهروز رسانیهای جدید لینوکس، متوجه شد تعدد CPUهای مورد استفاده در ورودهای رمز گذاری شده liblzma شد. وی پس از کشف این آسیب پذیری وقوع آن را در شبکه اجتماعی مستودون اطلاع داد و سپس ایمیلی برای مسئول امنیت open wall لینوکس ارسال کرد.
فروند با کنار هم گذاشتن تجربیاتش از کار در محیط لینوکس توانست به نتیجه گیری مهمی دست پیدا کند. آن هم این که یک جای کار درباره xz repository و xz tarballs میلنگد. این نقص علاوه بر ورژن 5.6.0، در ورژن 5.6.1 نیز وجود داشت.
در نهایت چه بلایی بر سر این آسیب پذیری آمد؟
مدت کوتاهی پس از عمومیت گزارش ارسال شده توسط فروند، یک هشدار امینیتی سطح بالا برای کاربران محیط لینوکس 40 و Fedora Rawhide ارسال شد. در نهایت کمپانی با ارائه آپدیتها و ابزارهای جایگزین به کاربران توانست جلوی بروز یک فاجعه امنیتی را بگیرد.