安全研究员发现,Linux系统下有个奇葩的漏洞。该问题来自Linux标准磁盘加密程序Cryptsetup的一个漏洞,其处理密码输入错误时,会允许用户多次重试输入,直到错误超过93次(持续按回车键约70秒),程序就会给用户一个带Root权限的shell(busybox)
http://mt.sohu.com/20161117/n473470190.shtml
这不是漏洞,这是后门
Ubuntu14.10,亲测无效
需要kvm直连本机,su - root这种应该是无效的
这个漏洞只影响那些有LUKS加密分区的系统,想利用这漏洞,必须接触到物理键盘吧,远程登录没法操作。而且都能物理接触主机直接拆磁盘就行了还费这事,本地物理失守就无所谓安全了。所以这个漏洞也就是那么回事,只是比较好玩。
centos7虚拟机上本机console 亲测无效
加密程序Cryptsetup的一个漏洞,没有安装的就没有这个漏洞