48 字節(jié)命令可令 Linux 系統(tǒng)當(dāng)機！？

一名系統(tǒng)管理員Andrew Ayer近日在Linux系統(tǒng)中發(fā)現(xiàn)一個臭蟲，只要輸入一行僅僅48個字節(jié)的命令，就能讓Linux的中央化系統(tǒng)與設(shè)定管理程式 systemd 當(dāng)機。

systemd 為 Linux 啟動程序的重要元件，支持眾多的 Linux 版本，Ayer 說，只要輸入簡短的命令

NOTIFY_S OCKET=/run/systemd/notify systemd-notify “”

PID 1 就會在暫停的系統(tǒng)唿叫中停擺，由于 inetd-style 服務(wù)不再接受任何的連結(jié)，因此也無法啟動或停止守護進程(daemons)。此一臭蟲將造成使用者不能干凈地重啟系統(tǒng)，便會讓系統(tǒng)變得不穩(wěn)定。

systemd 維護團隊很快就修補了該漏洞。但此次事件中讓 Andrew Ayer 與 systemd 開發(fā)團隊發(fā)生了口角，Ayer 認為這是個嚴(yán)重的系統(tǒng)設(shè)計缺陷，早在2年前的systemd 209 版本已經(jīng)發(fā)現(xiàn)，systemd 開發(fā)團隊卻忽略此事的嚴(yán)重性，systemd 的問題不只是這個臭蟲，他批評開發(fā)人員根本不了解軟體設(shè)計必須要盡量減少臭蟲及相關(guān)風(fēng)險的重要性。

另一邊廂，身為 systemd 共同維護人 David Timothy Strauss 表示 Ayer 以一個很小的安全問題來批評systemd，相關(guān)漏洞必須于本地端執(zhí)行，僅可造成服務(wù)阻斷，相較于資訊揭露或權(quán)限擴張而言只是個最低等級的安全風(fēng)險。

Andrew Ayer 與 systemd 開發(fā)團隊的爭執(zhí)仍在網(wǎng)絡(luò)上與社交媒體上持續(xù)升溫。