Клиенты облачной платформы Microsoft Azure, использующие Linux в виртуальных машинах, столкнулись с критической уязвимостью (CVE-2021-38647), позволяющей удалённо выполнить код с правами root. Уязвимость получила кодовое имя OMIGOD и примечательна тем, что проблема присутствует в приложении OMI Agent, которое без лишней огласки устанавливается в Linux-окружения...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55813
Невообразимо детский косяк вкупе с принудиловом.
Если и это ничему ажуроводов не научит (спойлер: должно научить не пользоваться azure и иже с ним) - то я даже не знаю.
дебилы должны страдать, пусть пользуются, за счет таких покемонов мы получили net core под линуху, и даже mono начала импортировать исходники оттуда
Microsoft, Microsoft newer changes.Только раньше у них были последние остатки вымирающего племени Крутых Кодунов - единственных оставшихся в живых представителей древней, невероятно развитой цивилизации - типа Руссиновича, но сейчас инклюзивность, трахопопсть и феминпавер убили и тех немногих, кто знал, за какую сторону брать дебаггер...
Но вы же понимаете, что в не том дело. Проблема в том, что во всех крупных бизнесах всё решают манагеры и продаваны-маркетолухи. Тут хоть кто работать будет, продукт всё равно каждый раз сырым будет.
Проблема именно в том, что в таком месте где все решают маркетолухи - только "хотькто" и будут работать. Вон там внизу ссылочка на твиттер со скриншотиками "работы".И ведь можно быть увереным, что макаку не выпороли и обратно содить рис по колено в навозе с пиявками не загнали.
> содить рис по колено в навозе с пиявками не загнали.Боишься что тебя с работы потеснят?
>Если и это ничему ажуроводов не научитажуроводы все распильщики, их не научит, ибо им пофиг.
у маздаев за программно выключенные виртуалки надо платить, если не скажешь дополнительную команду типа shutdown. а за диски будешь платить в любом случае. ещё и минимальный размер системного диска гиг 50 (или 30) был. для линя, который 1-2 весит! а скорость SSD зависит не от дисков, а от стоимости VM. чтобы как в хетцнере был vps за 3 бакса с 5000 iops? хаха, не, получи 100 ) а на HDD 50....
азуре это дорогой беспонт, кто им пользуется, отбит на голову...
А разве кто-то добровольно пользуется azure? С их космическими ценами, дороже чем в AWS и Google вместе взятыми?
Лишнее доказательство того, что MS близко к линуху подпускать нельзя.
Если там критерием оценивать, кого нельзя к линуксам подпускать, то думаю, что будет пустое поле.
в точку, поня, но местным (с красными глазами) адептам сабжа такое лучше в лоб не говорить, ибо ребята обидчивые до крайности
один ты в белом пальто стоишь красивый?
Нет, их там двое.
Ты хотел быть третьим?
Нет, посмотрел на них, и прошел мимо.
там просто не хватает трудно отменяемых авто обновлений и правильного антивируса
> но оно ещё не доведено до пользователей Microsoft Azureда... у них же, вроде, принято обновления выкатывать по четвергам, что-ли
> Автообновление агента не поддерживается
обычно это как раз хорошо, имхо. А то без ведома багов насуют... как npm какой-нибудь.
Так они уже этот OMI засунули, че терять-то
У кого-нибудь готовый эксплоит есть? Хочу помайнить битка на целом огромном облачном провайдере, но возиться с деталями уязвимости лениво.
Новость почитай если ты там ничего не нашел тебе не надо.
Я запустил то что в новости - оно сперва повисло на пять минут, а потом наплевало мне в консоль какие-то ашипка про команда не команда.А где же эксплойт?
Там уже майнят все, кому не лень.
> Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root.В Microsoft работают профессионалы своего дела. Просто их профессия не компьютерная безопасность.
там работают индусы
О, белая кость подтянулась...
Ну, куда им до тебя с твоим более известным и популярным БольшеСовтом!
ммм, вкусна
Ажур итак создает для каждой новой виртуалки нетворк секурити групп в которой только несколько портов открыты типа ssh http/https все остальные порты надо руками открывать.
Судя по тому что Shodan их нашло - ЭТУ часть работы бангалорский коллектив msовских подрядчиков выполнил не на от...сь, и при установке OMI, эти самые порты открываются автоматически (логично, как ms должна получать туда доступ)Хотя, конечно, всегда остается вероятность, что эти пятнадцать тыщ - имени васянов, скопипастивших с серверфолта нужную и полезную инструкцию установки чего-то, написанного на безопастных язычках, начинающуюся с пункта "отключаем нахрен всю нетворк секьюрить - мы так и не научились разрешать в ней наш единственный порт".
Они доступны внутри ажура внутри виртуальной сети. По крайней мере я доступ снаружи получить не могу. Если его явно не открыть.Единственный вектор если у тебя есть ограниченный доступ до дев окружения и ты решил загадить прод к которому у тебя нет доступа, например своему работадателю/закзчику. Например через CI, но тут уже работодатель может против тебя применить социнженерию)
> Они доступны внутри ажура внутри виртуальной сети.а как туда automation попадет? Он же не внутри твоей сети, он где-то на своих виртуалках ms крутится.
> Если его явно не открыть.
ну вон те 15 тыщ лошар - справились с задачей.
Кстати, действительно, немного их, в тех масштабах. У остальных либо не получилось открыть, либо пожадничали заплатить за сервис.
У Ажура много разных севрисов, помимо простых виртуалок как у всех. Есть например ML, который тоже что-то создает но что там по умолчанию открыто а что закрыто не понятно. Или у того же кубера, если кто руками поднимал, может быть затык и все работает только когда все порты открыты. Да много сочетанию можно придумать. Но например в самой простом сетапе виртуалки и база созданные по умолчанию все относительно секурно выглядит снаружи. Но обновится конечно же не помешает.
> АжурАзура! Трибунала на вас нет...
Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=tr...
> Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=tr...Нажми на чувство юмора https://en.uesp.net/wiki/Lore:Azura
https://en.uesp.net/wiki/Tribunal:Tribunal
Зачем же под трибунал?
Название уязвимости OMIGOD --созвучное с Oh my god! -- убило меня наповал
https://www.urbandictionary.com/define.php?term=omigod
> Проблема усугубляется тем, что в Azure явно не документировано применение OMI и OMI Agent устанавливается без предупрежденияТолько не рассказывайте им про ssm агента в aws, а то у нас там вся инфра хостится)
выпилить к чертям
Ну чтож, M$ по своему рукоjobству даже свои сервисы с линуксами умудрились сделать дырявыми.
Вот только, случайно ли?!
Да чтож вы всё вокруг да около-то, а? Да на Rust надо было писать этот OMI и все было бы безопасно, а не как тут. Rust спасает от любых уязвимостей.
> Rust спасает от любых уязвимостей.Нет кода - нет уязвимостей.
К сожалению, индусу из microsoft за это всыпали бы плетей, пришлось писать на том, на чем можно написать. Интересно, на питоне или на питоне?
> Да чтож вы всё вокруг да около-то, а? Да на Rust надо было писать этот OMI и все было бы безопасно, а не как тут. Rust спасает от любых уязвимостей.Опять клоу^W Бойцам Опеннетного Анти-Растового Сопротивления злобные растоманы тайком, ночью, одно место горчицей намазали?
> выполнить обновление пакета вручную, используя команды "dpkg -l omi"-l же просто выводит список пакетов по шаблону?
а rpm -qa как думаешь, что делает? ;-)Ну не умеет мсовский индус в пакеты. Его в секьюрити тим по просьбе брата взяли - а вчера еще глину месил.
да нет, индус как раз не ошибсяdeepakjain111 released this Sep 8, 2021
Installation examples:
Ubuntu 16.04, x64:
sudo dpkg -i ./omi-1.6.8-1.ssl_100.ulinux.x64.debRed Hat Enterprise Linux, Oracle Linux, or CentOS 6/7, x64:
sudo rpm -Uvh ./omi-1.6.8-1.ssl_100.ulinux.x64.rpmвидимо, испорченный телефон сработал
Мож, поправился уже? Он же тоже умеет пользоваться поиском по серверфолту.> видимо, испорченный телефон сработал
ненене - -i/-l могло быть опечаткой, но с rpm это выстрел в упор из эскопеты с загнутым по кругу стволом - такое никакой опечаткой не объяснишь.
Это явные следы поиска бингом "эквивалент dpkg -l в rpm". И нашел что искал ;-)
хехкак ни странно это оказались авторы эксплоета :)
https://github.com/horizon3ai/CVE-2021-38647
Mitigations
Update and ensure the OMI agent is at version 1.6.8.1.
For Debian systems (e.g., Ubuntu): dpkg -l omi
For Redhat based system (e.g., Fedora, CentOS, RHEL): rpm -qa omiвидимо все же имели в виду, как проверить версию пакета.
остальные пали жертвой копипаста
не, в секьюрити по просьбе брата, по-моему, вот эту взялиhttps://twitter.com/GossiTheDog/status/1437898118310268930/p...
ЭТО взяли по квоте для lgbtq и альтернативно-одаренных (сразу две вакансии заполнили). Жаль Макс не осилил это запилить вместо новости.Видосик ему пришлите, как хакать. А то без видосика оно не могетъ.
А ведь наезжали на ms что они не френдли и вообще квот не соблюдают...
> Видосик ему пришлите, как хакать. А то без видосика оно не могетъ.может, у них там в Индии обычаи такие, откуда я знаю.
нашел LPE - спой и станцуй об этом на камеру, видео зашли в секьюрити тим.
как и rpm -qaэто надмакс видимо что-то напутал, возможно, имелось в виду - проверить, установлен ли пакет.
Всем бэкдорам бэкдор!
МС король бэкдоров.
Девиз Майкрософт: "Перенесём все свои баги в Линукс"
Майкрософт теперь поглотит линукс и будет только BSD
> Майкрософт теперь поглотит линукс и будет только BSDТы бздун или макаковод?
Как! Ты! Вообще! Смеешь! Думать такое о Платиновом Партнере!
Да еще и упоминать этих проприетарных подстилок, довольствующихся объедками со стола проприерасов и Божественный Пингвин, где нужно очень постараться, правильно кланяясь и исправляя colour в течении года, чтобы твой код, возможно, приняли в ядро (если ты не Платиновый Партнер конешно, тогда все будет сразу и без очереди, но это другое! Да и вообще, самба в ядре - нужнейшая вещь!)
Так она и уже - полулинукс, но не такой как линукс. Посмотри на:
- linuxulator
- epoll-shim
- дрова видева и войфая.БЗД без линукса не останется, ведь на реальном железе как-то работать надо.
> Так она и уже - полулинукс, но не такой как линукс. Посмотри на:
> - epoll-shim"Small epoll implementation using kqueue" - вай, беда - враппер
> - linuxulator
> HISTORY
> Linux ABI support first appeared in FreeBSD 2.1Главное, не смотреть на wine в <куча линуксдистров на выбор>
и illumos.
Ребята, ребята, РЕБЯ-Я-Я-ЯТЫ!
Я знаю, что нужно зделоть!
Нужно во все эти окружения срочно установить микрософт сесурити эссентиалз, кловунд протектион от касперского и линуксовского дохтырь веба!
И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал стандарты DMTF на уровне ОС!Есть международный принятый стандарт удалённого управления
https://www.dmtf.org/standards/ws-man
В идеале было бы не плохо поддерживать WBEM целиком, но нативный WS-MAN решил бы кучу проблем, учитывая, сколько всего надо реализовать, чтобы он появился.Я в своё время объяснял тут, что есть 2 подхода к конфигурированию:
1. Конфигурация на основе документов
2. Конфигурация на основе APILinux не поддерживает второй способ, и куча олбачных девляпсов костылят API поверх оболочки и конфигурационных файлов. Причем чаще всего свое собственное велосипедное вонючее RESTfull API, которое для решения задач удаленного управления не подходит (там всё stateful по определению).
Самые сказочные ставят оркестраторы вроде Ansible и Puppet для задач удаленного управления (вместо задач CD, для которых они созданы).Вот что мешает объявить реестр CIM-классов на базе того же самого systemd? Религия.
А что мешает эти же самые интерфейсы или их реализации прикручивать к шине IPC/RPC? Безграмотность.
Просто когда пользователи ОС, как адепты карго-культа молятся на "юниксвей" (в юниксах родились реестры), на KISS (который как раз и проявляется в компонентном разделении), на POSIX (с его тредами, локалями и отсутсвием нормального управления памятью, зато есть унылый fork) не понимают что это за технологии и мечтают о шине данных, лучшее на что они могут надеяться это dbus и скрипты для переконфигурирования конфигураций к другим скриптам.Просто если взять 100 конфигов и написать скрипт на баше, который там что-то меняет, и дёрнуть его через ssh, это не конфигурирование через API. И если переписать скрипт на python и дёргать через ansible, то это тоже ничего не меняет.
Важно понимать, что с какими бы плюсами не обладали бы конфигурационные файлы, задач требующих API это никогда не отменит. Иронично, что именно MS своими дырявыми костылями решает одну из самых главных проблем unix-like операционных систем - невменяемое конфигурирование, пока уга-буги прыгают с бубном и призывают венде-капец.
Все вы такие крутые на опеннете. Да, и ты тоже. Вот только простые вопросы до сих пор без ответа.- Почему нет до сих пор нативной реализации в ядре или околоядерном софте, хотя проблема (с точки зрения девляпса) давно назрели и надо её срочно-срочно вилкой решать?
- Почему сообщество не хочет пилить забесплатно девляпсам NIH-аналог WMI забесплатно?
- Почему редхат, интел и иже с ними не хотят пилить забесплатно девляпсам NIH-аналог WMI забесплатно, удовлетворяясь декларативными конфигами?
- Почему ни один девляпс так и не поднял свою попу от стула и не сделал свой WMI, сБиШ, кой по их заверениям оторвут с руками и ногами все?
- Почему ты пишешь это тут, а не в рассылке перед Торвальдсом, девляпс?
> Почему нет до сих пор нативной реализации в ядре или околоядерном софтебть, ну зачем ты им подсказываешь?! Так - проблема только в системах на ms'овском хостинге, причем в специальной сложной позе и надо еще постараться ручками поотключать все дополнительные защиты.
А вляпают такой бэкдор в системду и еще небольшой интерфейсик со стороны ведра - во-первых, ну чтоб тебе не надо было помнить про исключить порты в файрволе мы все-все-все сделаем за тебя, во-вторых это же просто хорошо и правильно, когда система не загружается потому что у тебя недостаточно модная версия systemd! (Наоборот-то уже было, неинтересно.)
Надо ведь заставлять луддитов выкидывать устаревшее г-но и обмазываться свеженьким!Ты бы хоть не забыл посоветовать непременно на безопастном хрусте разработать - тогда еще угроза была бы минимальна.
> Почему нет до сих пор нативной реализации в ядре или околоядерном софте, хотя проблема (с точки зрения девляпса) давно назрели и надо её срочно-срочно вилкой решать?Потому что в корпоративном сегменте, где всё это нужно есть решения от Red Hat, которые нужно купить и всё делать через них. И не забыть купить их доп. саппорт, потому что заморочишься отлавливать подводные камни заботливо расставленные в их решениях. Покупайте RHEV, OpenShift и OpenStack со вкусом Red Hat.
> Почему сообщество не хочет пилить забесплатно девляпсам NIH-аналог WMI забесплатно?
Потому что карго культ и неграмотность. Ты тому пример. WMI - это windows-реализация группы открытых стандартов, которые используются в другом софте и железе. NIH (not invented here) это изобретение велосипеда, который уже есть, а в Linux нет ни своего велосипеда по WBEM, ни вендовый портировать нельзя, потому что он даёт управление над компонентами венды... это другая ОС.
> Почему редхат, интел и иже с ними не хотят пилить забесплатно девляпсам NIH-аналог WMI забесплатно, удовлетворяясь декларативными конфигами?
У интела в есть Intel ME и Intel AMT зачем им упралялка на линукс, а про платные костыли Red Hat я писал выше. А еще у Red Hat есть systemd, который с этой точки зрения - монолитный ящик, который никакого API управления никому толком не даёт и в лучшем случае часть себя в dbus объявляет.
> Почему ни один девляпс так и не поднял свою попу от стула и не сделал свой WMI, сБиШ, кой по их заверениям оторвут с руками и ногами все?
Потому что это инфраструктурное решение, для которого нужно быть чуть более чем питонописателем REST-сервисов. Тонну системного софта, которое заточено на оболочку и текстовый конфиг нужно дополнить функционалом. Это MS не может себе позволить, поэтому и пилит сущий костыль, про баги которого рассказывает новость.
> Почему ты пишешь это тут, а не в рассылке перед Торвальдсом, девляпс?
Потому что:
1. Опеннет - это рассадник глупых комментаторов, которые религиозно верят в пришествие капеца, верят в превосходство одной ОС над другой и понятия не имеют, что и зачем нужно. Тут эта информация нужнее.
2. Потому что Торвальдс - это не по адресу. Торвальдс - это человек который занимается ядром, в то время как WBEM на 80% управляет юзерспейсом и сам должен быть в юзерспейсе. Те условные 20% что в ядре тоже должно сначала в юзерспейс отдаться через API. Этим технологиям не место в ядре.
>>>И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал стандарты DMTF на уровне ОС!потому что иди нафиг со своими пегасусами и сублимами в ведре, вот почему.
> со своими пегасусамиЭто что такое? 🤨
это такая мишпуха, чтобы завести wbem под линуксом
Иронично, что именно MS
> своими дырявыми костылями решает одну из самых главных проблем unix-like операционных
> систем - невменяемое конфигурирование, пока уга-буги прыгают с бубном и призывают
> венде-капец.Спасибо, очень хорошо обьяснили, товарищ.
Теперь я знаю, что есть вменяемое конфигурирование
Это развернуть втихаря, "ночью, без предупреждения" дырявый агент,
а когда кал ударил в вентилятор, объяснить пользователям
https://msrc-blog.microsoft.com/2021/09/16/additional-guidan.../
>>>Customers must update vulnerable extensions for their Cloud and On-Premises deployments as the updates become available
вместо того, чтоб втихаря, поджав хвост, быренько подтереть там, где облажались.
Очень вмэняэмо, очень правосла^W энтерпрайзно.
Желаю защитникам такого вменяемого конфигурирования долгой, но плохой жизни.
Таблеток прими.Это то же самое что ныть, когда у тебя ssh предустановили и сделали исключение на 22-ой порт на файрволе, а потом нашлась уязвимость. Это во-первых, а во-вторых, конфигурирование на основе API, подразумевает наличие этого API и классов. В Linux нет ни стандартизированной базовой системы ни тем более объектно ориентированного API для управления компонентами и модулями. Только оболочка и документики.
Агент - это тот костыль поверх которого МС строит реализацию wbem в ОС, в которой и пользователи и разрабы, что такое удаленное управление не знают дальше редактирования текстового документа. А единственная компания, которая оккупировала развитие инфраструктуры этой ОС пилит питонячьи велосипеды вместо поддержки открытых стандартов.
Ты реально такая уга-буга, которая не понимает как работает CIM/WSMAN и где должно быть API и классы или просто истеришь от наличия агента? Ну так в Linux всё делается через агентов и сторонних демонов, потому что своего ничерта нету.
товарищ, не напрягайтесь.мы уже поняли, что из себя представляет вменяемое конфигурирование
это
а) без ведома клиента установить в клиентскую vm дырявый пакет с rce и lpe
б) спустя три с половиной месяца после того, как стало известно, что в пакете дыры, не суметь откатить или обновить этот пакет, вместо этого свалив эту обязанность на клиента.> Ты реально такая уга-буга
ок зумер
> мы уже поняли, что из себя представляет вменяемое конфигурированиеВы это кто? 3.5 михрютки, которые нужны для того чтобы конфиг править через текстовый редактор? Научись говорить за себя.
что а), что б) происходит, когда МС разрабатывает и внедряет что-то. Если бы реализацию бы сделали сами без МСовских агентских костылей так бы не было
но дурачки вроде тебя не понимают. У дурачков есть "философия" файла .conf. И есть специально обученные михрютки, которые должны его редактировать.> ок зумер
Называть зумером человека, который указывает на отсутствие в линуксе стандартной шины, API для конфигурирования (90-е) и поддержки почки стандартов, которая оборачивает бинарную шину в SOAP (00-е) - реально уга-буга. Зумеры, как минимум, на REST бы костыляли. А вообще если ты намекаешь тем самым, что ты не просто необразованный дурак, а старый необразованный дурак... то это ничего не меняет, в конечном итоге.
да ты хоть и весь в кал изойди со своими шинами. По факту все эти шины и апи конфигурирования за три с половиной месяца не смогли выконфигурировать дырявый пакет из системы.До тебя это доходит, анон? Или ты опять начнешь наяривать про соап и рест, теоретик?
WBEM это решение с очень крутой кривой освоения. Уже только поэтому оно не способно решать те проблемы, для решения которых задумано. Банально неосилянты, а таких абсолютное доминирующее большинство, начнут лепить очередные баши/перлы/питоны, перекидываться эксимелями и ясончиком и опять нарастят опухоль, которая станет больше организма и начнёт сама жить своей жизнью, объявив себя настоящим единственным организмом. Это закон любых больших коллективов.
Белогривые лошадки...
rm -rf /* будет у буратин...
Это выбор каждого употреблять с лопаты или как-то самому обходится.
Соглашаясь быть подопечным - соглашаешся на шалости и хотелки опекуна.
> Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручнуюНу как, поддерживается же:
python3 omigod.py -t 10.0.0.5 -c "apt -y install omi; yum -y update omi"
Микрософт не научился репозитории поддерживать. (Насколько я смог почитать буквы в новости.)
Поэтому сценарий "починки" будет чуть сложнее.
> Микрософт не научился репозитории поддерживать???
Но использовать их для обновления M$ не научился.Хотя... У них системы задуманы для другого.
>Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную,Я микрософт вирус.. мои разработчики настолько бедны что ... пожалуйста, поставьте меня себе сами...
> Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root.Не баг а фича.
Явно зделано умышленно.
А что с M$ вы хотели?
> достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами rootMicrosoft way.
>> достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root
> Microsoft way.зато не
>>>велосипедное вонючее RESTfull API
Зато дыра шедевральная.
А слушать порты на локальной петле не достаточно было бы?
>при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешнойЭто шедевр!
Поржал.M$ - это быстро, некачествено, за деньги.
>> это быстроЧего там быстрого?
Если только быстро копируют все как обезьяны с остальных и пристраиваются к чужим инициативам.
левые агенты - всегда потенциальная дыра.
всяких там заббиксов тоже касается.
а уж если за дело берется майкрософт ...
"..agent" Собственно, дальше можно не читать. Через висящую в процессах приблуду можно хоть Армагеддон организовать. Невыносимо-отвратительный проприетарный метод.
Понятное дело, что когда Linux начинают использовать более 1%, то специалисты по безопасности начинают обращать внимание на Linux и находят там такие дыры. Linux -- он как Неуловимый Джо. В нём не находят дыр безопасности лишь по той причине, что он никому не нужен. Вот его стала использовать популярная корпорация, подтянулись безопастники и сразу нашли в Linux'е уязвимость. Всё правильно. Всегда так происходит.
Девайсов с линуксом выпускается в три-пять раз больше чем людей на земле. Каждый год ! Процент, еслиб..