あり 有名なsudoツールの深刻な脆弱性。 この脆弱性は、シェルでセッションを持っているすべてのユーザーが(SELinuxが有効になっている場合でも)特権を昇格してrootになることができる、このツールのプログラミングのバグが原因です。 問題は、端末を判別しようとするときに/ proc / [PID] / statの内容をsudo解析する誤動作にあります。
発見されたバグは特に電話中です get_process_ttyname() Linux用のsudo。これは、前述のディレクトリを開いて、tty_nrフィールドのデバイス番号ttyを読み取るものです。 私が言ったように、CVE-2017-1000367としてカタログ化されたこの脆弱性は、システム特権を取得するために悪用される可能性があるため、非常に重要であり、多くの有名で重要なディストリビューションに影響を及ぼします。 しかし、怖がらないでください、今私たちはあなた自身を守る方法をあなたに教えます...
さて、 影響を受ける分布は:
- Red Hat Enterprise Linux 6、7およびサーバー
- Oracle Enterprise 6、7およびServer
- CentOS Linux6および7
- Debian Wheezy、Jessie、Stretch、Sid
- Ubuntu 14.04 LTS、16.04 LTS、16.10および17.04
- SuSE LInux Enterpsriseソフトウェア開発キット12-SP2、Raspberry Pi 12-SP2用サーバー、サーバー12-SP2、デスクトップ12-SP2
- OpenSuSE
- Slackwareの
- Gentooの
- アーチのLinux
- フェドーラ
したがって、あなたはしなければなりません パッチまたはアップデート これらのシステム(または派生物)のいずれかがある場合は、できるだけ早くシステムを使用してください。
- Debianおよび派生物(Ubuntu、...)の場合:
sudo apt update sudo apt upgrade
- RHELおよび派生物(CentOS、Oracle、...)の場合:
sudo yum update
- Fedoraの場合:
sudo dnf update
- SuSEおよび派生物(OpenSUSE、...):
sudo zypper update
アーチLinux:
sudo pacman -Syu
- Slackware:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- Gentoo:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Archlinux以前ではどちらが使用されますか?
こんにちは、
コードの挿入中にエラーが発生しました。 今、あなたはそれを見ることができます。
ご挨拶とアドバイスありがとうございます。
はいはい。
さて、アーチと派生物のためにsudo pacman -Syyu
ご挨拶。
だから、sudoが更新されたのです...とにかく、危険なのは、誰がバグがあるかを除いて、誰が知っているのかがわからないという事実です。 そして、それは危険な場合があります。