tur ir smaga ievainojamība slavenajā sudo rīkā. Neaizsargātība ir saistīta ar kļūdu šī rīka programmēšanā, kas ļauj jebkuram lietotājam, kura čaulā ir sesija (pat ar iespējotu SELinux), eskalēt privilēģijas, lai kļūtu par root. Problēma ir sudo nepareiza darbība, analizējot / proc / [PID] / stat saturu, mēģinot noteikt termināli.
Atklātā kļūda ir tieši zvana laikā get_process_ttyname () sudo operētājsistēmai Linux, kas ir tas, kas atver iepriekš minēto direktoriju, lai nolasītu ierīces numuru tty laukam tty_nr. Šo ievainojamību, kas ir katalogs CVE-2017-1000367, varētu izmantot, lai iegūtu sistēmas privilēģijas, kā jau teicu, tāpēc tā ir diezgan kritiska un ietekmē daudzus labi zināmus un svarīgus izplatījumus. Bet nebaidieties arī jūs, tagad mēs jums sakām, kā sevi pasargāt ...
Nu, ietekmētie sadalījumi ir:
- Red Hat Enterprise Linux 6, 7 un Server
- Oracle Enterprise 6, 7 un Server
- CentOS Linux 6 un 7
- Debians Sēkšana, Džesija, Stričs, Sids
- Ubuntu 14.04 LTS, 16.04 LTS, 16.10 un 17.04
- SuSE LInux Enterpsrise programmatūras izstrādes komplekts 12-SP2, serveris Raspberry Pi 12-SP2, Server 12-SP2 un Desktop 12-SP2
- OpenSuSE
- Slackware
- Gentoo
- Arch Linux
- Fedora
Tāpēc jums tas jādara plāksteris vai atjauninājums jūsu sistēma ASAP, ja jums ir kāda no šīm sistēmām (vai atvasinājumiem):
- Debian un atvasinājumi (Ubuntu, ...):
sudo apt update sudo apt upgrade
- RHEL un atvasinājumiem (CentOS, Oracle, ...):
sudo yum update
- Fedorā:
sudo dnf update
- SuSE un atvasinājumi (OpenSUSE, ...):
sudo zypper update
Arch Linux:
sudo pacman -Syu
- Slackware:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- Gentoo:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Kuru izmantotu Archlinux un agrāk?
Hello,
Ievietojot kodu, radās kļūda. Tagad jūs to varat redzēt.
Sveiciens un paldies par padomu.
Sveiki
Nu, arkai un atvasinājumiem sudo pacman -Syyu
Sveicieni.
Tāpēc sudo tika atjaunināts ... tomēr riskants ir fakts, ka nav zināms, kurš, izņemot to, kuram tagad ir kļūda, zināja. Un tas var būt riskanti.