Ако използвате Linux и не ви звучи познато SudoЕ, нека просто кажа, че това ме изненадва. По принцип, когато искате да въведете команда, която изисква специални разрешения, това е първото нещо, което трябва да въведете, като "sudo apt update" на системи, използващи APT, или "sudo pacman -Syu" на системи, използващи Pacman. Като се има предвид, че ни позволява да правим практически всичко, важно е той да е перфектен и не можем да кажем, че е бил преди няколко часа.
Изследователите по сигурността съобщиха подробности за уязвимост в Судо, която може да бъде експлоатиран от злонамерен потребител, за да получи root права на операционни системи Linux. Тези изследователи специално споменават «широк спектър от базирани на Linux системи«, Но те не уточняват кои. Да, мога да потвърдя, че Sudo вече е актуализиран на Arch-базирани и Ubuntu-базирани системи, поне в официалните версии.
Може би най-важният бъг на Судо в новата му история
Изследователите казват, че това може да е най-значимата уязвимост на Судо в най-новата история. Решението, известно като барон Самедит, е посочено като CVE-2021 3156- и най-тревожното нещо е това съществува почти десет години. Това, което трябва да ни успокои малко, макар и не прекалено, е, че то може да се използва само с физически достъп до устройството.
Изследователи по сигурността са успели да използват недостатъка в три версии на три много популярни операционни системи: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10 и Fedora 1.9.2 v33. Те не казват това директно, но казват, че «вероятно други операционни системи и дистрибуции също са уязвими«, На което бих казал, че е нещо практически безопасно.
Версията на Sudo, която коригира тази грешка, е 1.9.5p2:
Sudo преди 1.9.5p2 има преливане на буфер, базиран на Heap, което позволява ескалация на привилегиите да се изкорени чрез "sudoedit -s" и аргумент на командния ред, завършващ с един символ на обратна наклонена черта.
Преди малко повече от година беше коригирано друг подобен проблем, и въпреки че Mitre не го споменава, Canonical казва, че приоритетът е да се коригира или гравитацията е висока. Като се има предвид колко лесно е да приложите пластира, дори ако никой не докосва нашето оборудване, препоръчително е да го актуализирате възможно най-скоро.
Снощи получих актуализацията (версия 1.9.5p2) в Manjaro
С цялото ми уважение към потребителите на Windows 10, уязвимостта беше поправена много по-бързо, отколкото в операционната система на Microsoft ...