Một lỗ hổng nghiêm trọng trong nhân Linux 2.4 cho phép người dùng trên một máy tính Linux có thể giành các đặc quyền truy cập không giới hạn. Phát hiện này vừa được các nhà phát triển của nhà phân phối Linux phi thương mại Debian công bố trên diễn đàn khuyến cáo bảo mật.
Lỗi này ảnh hưởng đến các phiên bản nhân Linux trước 2.4.23, và là phương thức được sử dụng trong một cuộc tấn công gần đây nhằm vào các máy chủ của Debian, theo khuyến cáo nói trên. Trong cuộc tấn công này, bốn máy chủ Linux chuyên dùng để đặt hệ thống theo dõi lỗi của Debian, các hộp thư thoại và rất nhiều trang web đã bị xâm nhập.
Yếu điểm bảo mật này chỉ có thể bị lợi dụng bởi một người nào đó đã được cho một tài khoản người dùng trên máy tính Linux bị tấn công, và không ảnh hưởng đến người dùng của mọi hệ thống Linux, theo giải thích trong một e-mail trả lời phỏng vấn của người sáng lập Linux, ông Linus Torvalds. ''Đó chỉ là một sự xâm nhập cục bộ mà bạn không thể thực hiện từ bên ngoài''. ''Do đó, với hầu hết mọi người, nó chỉ trở nên nghiêm trọng sau khi bạn đã bị ăn cắp một số tài khoản người dùng - và lỗi bảo mật này sẽ cho phép nâng quyền hạn của tài khoản đó lên''.
Tuy nhiên, lỗ hổng này không chỉ ảnh hưởng đến người dùng Debian. Bất kỳ người dùng Linux nào đang chạy một phiên bản sử dụng nhân Linux trước bản 2.4.23 nên liên hệ với nhà cung cấp của mình để cài bản sửa lỗi, ông Torvalds nói.
Vấn đề bảo mật này đã được phát hiện bởi một nhà phát triển nhân Linux kernel có tên Andrew Morton vào tháng 9 vừa qua, và đã được khắc phục trong phiên bản nhân 2.4.23. Tuy nhiên các nhà cung cấp hệ điều hành Linux đã cộng tác để đưa ra một bản sửa lỗi cho lỗ hổng này, theo phát biểu của ông Dave Wreski, Giám đốc điều hành Guardian Digital Inc., hãng cung cấp một dòng hệ điều hành Linux bảo mật.
Đầu tuần này, các bản sửa lỗi cho lỗ hổng bảo mật của nhân Linux đã được đưa ra cho một số nhà cung cấp Linux, bao gồm Red Hat, Debian, và Mandrake.
Bình Minh - Theo IDG News