Има a сериозна уязвимост в известния инструмент за судо. Уязвимостта се дължи на грешка в програмирането на споменатия инструмент, която позволява на всеки потребител, който има сесия в черупката (дори с активиран SELinux) да ескалира привилегиите да стане root. Проблемът се крие в неизправността на sudo при синтактичен анализ на съдържанието на / proc / [PID] / stat при опит за определяне на терминала.
Откритата грешка е конкретно в разговора get_process_ttyname () sudo за Linux, който отваря гореспоменатата директория, за да прочете номера на устройството tty за полето tty_nr. Тази уязвимост, каталогизирана като CVE-2017-1000367, може да бъде използвана за придобиване на системни привилегии, както казах, така че е доста критична и засяга много добре познати и важни дистрибуции. Но не се страхувайте и вие, сега ви казваме как да се предпазите ...
Е, засегнатите разпределения са:
- Red Hat Enterprise Linux 6, 7 и сървър
- Oracle Enterprise 6, 7 и сървър
- CentOS Linux 6 и 7
- Дебиан Уизи, Джеси, Стреч, Сид
- Ubuntu 14.04 LTS, 16.04 LTS, 16.10 и 17.04
- Комплект за разработка на софтуер SuSE LInux Enterpsrise 12-SP2, сървър за Raspberry Pi 12-SP2, сървър 12-SP2 и десктоп 12-SP2
- OpenSuSE
- Slackware
- Gentoo
- Arch Linux
- Fedora
Следователно трябва корекция или актуализация вашата система ASAP, ако имате една от тези системи (или производни):
- За Debian и деривати (Ubuntu, ...):
sudo apt update sudo apt upgrade
- За RHEL и производни (CentOS, Oracle, ...):
sudo yum update
- Във Fedora:
sudo dnf update
- SuSE и деривати (OpenSUSE, ...):
sudo zypper update
Arch Linux:
sudo pacman -Syu
- Slackware:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- Gentoo:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Кой ще се използва за Archlinux и по-рано?
Здравейте,
При поставянето на кода възникна грешка. Сега можете да го видите.
Поздрави и благодаря за съвет.
Здравейте:
Ами за арка и производни sudo pacman -Syyu
Поздрави.
Така че затова sudo беше актуализиран ... така или иначе, рисковото е фактът, че не се знае кой, освен този, който има грешката, кой друг е знаел. И това може да бъде рисковано.