Alerta de seguretat: error en suo CVE-2017-1000367

Isaac

2 minuts

seguretat Informàtica

Hi ha una vulnerabilitat greu a la famosa eina sudo. La vulnerabilitat es deu a un error en la programació d'aquesta eina que permet a un usuari qualsevol que tingui una sessió en el shell (fins i tot amb SELinux habilitat) poder escalar privilegis fins arribar a ser root. EL problema rau en el mal funcionament de suo a l'analitzar el contingut de / proc / [PID] / stat quan intenta determinar la terminal.

El bug descobert està concretament en l'anomenada get_process_ttyname () de sudo per a Linux, que és la que obre el directori anteriorment citat per llegir el nombre de dispositiu tty per de el camp tty_nr. Aquesta vulnerabilitat catalogada com CVE-2017-1000367 es podria aprofitar per obtenir privilegis en el sistema, com he dit, així que és bastant crítica i afecta moltes distribucions conegudes i importants. Però tampoc t'espantis, ara et diem com protegir ...

Bé, les distribucions afectades són:

  1. Red Hat Enterprise Linux 6, 7 i Server
  2. Oracle Enterprise 6, 7 i Server
  3. CentOS Linux 6 i 7
  4. Debian Wheezy, Jessie, Stretch, Sid
  5. Ubuntu 14.04 LTS, 16.04 LTS, 16.10 i 17.04
  6. SuSE LInux Enterpsrise Software Development Kit 12-SP2, Server for Raspberry Pi 12-SP2, Server 12-SP2 i Desktop 12-SP2
  7. OpenSuSE
  8. Slackware
  9. Gentoo
  10. Arch Linux
  11. Fedora

Per tant, hauràs apedaçar o actualitzar el teu sistema el més aviat possible si tens un d'aquests sistemes (o derivats):

  • Per Debian i derivats (Ubuntu, ...):
sudo apt update

sudo apt upgrade
  • Per RHEL i derivats (CentOS, Oracle, ...):
sudo yum update
  • A Fedora:
sudo dnf update
  • SuSE i derivats (OpenSUSE, ...):
sudo zypper update

Arch Linux:

sudo pacman -Syu
  • Slackware:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
  • gentoo:
emerge --sync

emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   fedu va dir
    fa 7 anys

    Com es faria servir per Archlinux i antergos?

    Respondre a fedu
    1.    Isaac PE va dir
      fa 7 anys

      Hola,

      Hi havia un error a l'inserir el codi. Ara ho podràs veure.

      Salutacions i gràcies per avisar.

      Respondre a Isaac PE
  2.   fernen va dir
    fa 7 anys

    Hola:
    Doncs per fitxers i derivades suo Pacman -Syyu
    Salutacions.

    Respondre a fernan
  3.   lorabe va dir
    fa 7 anys

    Així que per això es va actualitzar suo ... de tota manera, el arriscat és el fet que no se sap qui, fora de què hayo ara el bug, qui més sabia. I això pot ser arriscat.

    Respondre a lorabe