सुरक्षितता सूचनाः sudo CVE-2017-1000367 मध्ये बग

एक आहे प्रसिद्ध सुडो टूलमध्ये तीव्र असुरक्षा. असुरक्षा या साधनाच्या प्रोग्रामिंगमधील बगमुळे आहे ज्यामुळे शेलमध्ये सत्र असलेल्या कोणत्याही वापरकर्त्यास (सेल्इनक्स सक्षम केलेले देखील) रूट बनण्याची परवानगी मिळते. टर्मिनल निश्चित करण्याचा प्रयत्न करताना / प्रो / / पीआयडी] / स्टेटची सामग्री पार्स केल्याच्या सुदोच्या सदोषीत समस्या आहे.

सापडलेला बग विशेषतः कॉलमध्ये आहे get_process_ट्टननाव () लिनक्स करीता sudo, tty_nr फील्डसाठी tty_nr फील्डसाठी डिव्हाइस क्रमांक tty वाचण्यासाठी पूर्वी नमूद केलेली डिरेक्टरी उघडते. सीव्हीई -२०१2017-१1000367०० cat as as म्हणून ओळखले जाणारे या असुरक्षिततेचा उपयोग सिस्टम विशेषाधिकार मिळविण्यासाठी केला जाऊ शकतो, मी म्हटल्याप्रमाणे, हे अत्यंत गंभीर आहे आणि बर्‍याच सुप्रसिद्ध आणि महत्त्वपूर्ण वितरणांवर परिणाम करते. पण एक तर भीती बाळगू नका, आता आम्ही आपल्याला स्वतःचे संरक्षण कसे करावे हे सांगत आहोत ...

बरं प्रभावित वितरण आहेत:

1. Red Hat Enterprise Linux 6, 7 आणि सर्व्हर
2. ओरॅकल एंटरप्राइझ 6, 7 आणि सर्व्हर
3. सेंटोस लिनक्स 6 आणि 7
4. डेबियन व्हेझी, जेसी, स्ट्रेच, सिड
5. उबंटू 14.04 एलटीएस, 16.04 एलटीएस, 16.10 आणि 17.04
6. सुसे लिनक्स एंट्रसराइझ सॉफ्टवेयर डेव्हलपमेंट किट 12-एसपी 2, सर्व्हर फॉर रास्पबेरी पाई 12-एसपी 2, सर्व्हर 12-एसपी 2 आणि डेस्कटॉप 12-एसपी 2
7. ओपनस्यूएसई
8. स्लॅकवेअर
9. गेन्टू
10. आर्क लिनक्स
11. Fedora

म्हणून, आपण आवश्यक आहे पॅच किंवा अद्यतनित करा आपल्याकडे यापैकी एक प्रणाली असल्यास आपल्या सिस्टमला शक्य तितक्या लवकर (किंवा डेरिव्हेटिव्ह्ज):

• डेबियन आणि डेरिव्हेटिव्हसाठी (उबंटू, ...):

sudo apt update

sudo apt upgrade

• आरएचईएल आणि डेरिव्हेटिव्हसाठी (सेन्टोस, ओरॅकल, ...):

sudo yum update

• फेडोरा मध्ये:

sudo dnf update

• सुसे आणि डेरिव्हेटिव्ह्ज (ओपनस्यूएसई, ...):

sudo zypper update

आर्क लिनक्स:

sudo pacman -Syu

• स्लॅकवेअर:

upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz

• जेंटू:

emerge --sync

emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"