Wenn Sie Linux verwenden und es Ihnen nicht bekannt vorkommt SudoNun, lassen Sie mich nur sagen, dass es mich überrascht. Wenn Sie einen Befehl eingeben möchten, für den spezielle Berechtigungen erforderlich sind, sollten Sie ihn als Erstes eingeben, z. B. "sudo apt update" auf Systemen mit APT oder "sudo pacman -Syu" auf Systemen mit Pacman. In Anbetracht dessen, dass es uns erlaubt, praktisch alles zu tun, ist es wichtig, dass es perfekt ist, und wir können nicht sagen, dass es vor ein paar Stunden war.
Sicherheitsforscher haben Details einer Sicherheitslücke in Sudo gemeldet, die könnte von einem böswilligen Benutzer ausgenutzt werden, um Root-Rechte zu erlangen unter Linux-Betriebssystemen. Diese Forscher erwähnen ausdrücklich «eine breite Palette von Linux-basierten Systemen«, Aber sie geben nicht an, welche. Ja, ich kann bestätigen, dass Sudo bereits auf Arch Linux- und Ubuntu-basierten Systemen aktualisiert wurde, zumindest in den offiziellen Varianten.
Wahrscheinlich der wichtigste Sudo-Fehler in seiner jüngeren Geschichte
Forscher sagen, dies könnte die bedeutendste Sicherheitslücke in Sudo in der jüngeren Geschichte sein. Das Urteil, bekannt als Baron Samedit, wird als das aufgeführt CVE-2021-3156 und das Besorgniserregendste ist das existierte seit fast zehn Jahren. Was uns ein wenig beruhigen sollte, wenn auch nicht zu sehr, ist, dass es nur mit physischem Zugriff auf das Gerät ausgenutzt werden kann.
Sicherheitsforscher haben es geschafft, den Fehler in drei Versionen von drei sehr beliebten Betriebssystemen auszunutzen: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10 und Fedora 1.9.2 v33. Sie sagen das nicht direkt, aber sie sagen das «Wahrscheinlich sind auch andere Betriebssysteme und Distributionen anfällig«, Zu dem würde ich sagen, dass es etwas praktisch Sicheres ist.
Die Version von Sudo, die diesen Fehler behebt, ist 1.9.5p2:
Sudo vor 1.9.5p2 verfügt über einen Heap-basierten Pufferüberlauf, der die Eskalation von Berechtigungen über "sudoedit -s" und ein Befehlszeilenargument ermöglicht, das mit einem einzelnen Backslash-Zeichen endet.
Vor etwas mehr als einem Jahr wurde es korrigiert ein weiteres ähnliches Problem, und obwohl Mitre es nicht erwähnt, sagt Canonical, dass die Priorität, es zu korrigieren, oder die Die Schwerkraft ist hoch. Angesichts der Tatsache, wie einfach es ist, den Patch anzuwenden, wird empfohlen, ihn so schnell wie möglich zu aktualisieren, auch wenn niemand unsere Geräte berührt.
Letzte Nacht habe ich das Update (Version 1.9.5p2) in Manjaro bekommen
Bei allem Respekt gegenüber Windows 10-Benutzern wurde die Sicherheitsanfälligkeit viel schneller behoben als unter Microsoft ...