yra didelis pažeidžiamumas žinomame sudo įrankyje. Pažeidžiamumą lemia šio įrankio programavimo klaida, leidžianti bet kuriam vartotojui, turinčiam sesiją apvalkale (net su įjungtu „SELinux“), eskaluoti privilegijas tapti šakninėmis. Problema yra sudo veikimo sutrikimas analizuojant / proc / [PID] / stat turinį bandant nustatyti terminalą.
Aptikta klaida yra būtent skambutyje get_process_ttyname () „sudo“, skirtos „Linux“, kuris atveria anksčiau minėtą katalogą, kad nuskaitytų įrenginio numerį tty laukui tty_nr. Šis pažeidimas, kataloguotas CVE-2017-1000367, gali būti panaudotas norint gauti sistemos privilegijas, kaip sakiau, todėl jis yra gana kritiškas ir veikia daugelį gerai žinomų ir svarbių paskirstymų. Bet neišsigąskite, dabar mes jums sakome, kaip apsisaugoti ...
Na, paveikti paskirstymai yra:
- „Red Hat Enterprise Linux 6“, „7“ ir „Server“
- „Oracle Enterprise 6“, „7“ ir „Server“
- „CentOS Linux 6“ ir „7“
- Debianas Wheezy, Jessie, Stretchas, Sidas
- „Ubuntu“ 14.04 LTS, 16.04 LTS, 16.10 ir 17.04
- „SuSE LInux Enterpsrise“ programinės įrangos kūrimo rinkinys 12-SP2, „Raspberry Pi 12-SP2“, „Server 12-SP2“ ir „Desktop 12-SP2“ serveris
- „OpenSuSE“
- Slackware
- "Gentoo"
- Arch Linux
- Minkšta fetrinė skrybėlė
Todėl jūs turite pataisyti ar atnaujinti savo sistemos ASAP, jei turite vieną iš šių sistemų (arba išvestinių priemonių):
- Debianui ir išvestinėms priemonėms (Ubuntu, ...):
sudo apt update sudo apt upgrade
- RHEL ir dariniams (CentOS, Oracle, ...):
sudo yum update
- Fedoroje:
sudo dnf update
- SuSE ir jos dariniai (OpenSUSE, ...):
sudo zypper update
Arch Linux:
sudo pacman -Syu
- „Slackware“:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- „Gentoo“:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Kuris iš jų būtų naudojamas „Archlinux“ ir anksčiau?
Sveiki,
Įterpiant kodą įvyko klaida. Dabar jūs galite tai pamatyti.
Sveikinimai ir ačiū už patarimus.
Labas
Na, arkai ir dariniams sudo pacman -Syyu
Sveikinimai.
Taigi, kodėl „sudo“ buvo atnaujintas ... Šiaip ar taip, rizikingas dalykas yra tai, kad nėra žinoma, kas, išskyrus tą, kuris dabar turi klaidą, dar žinojo. Ir tai gali būti rizikinga.