Sekiranya anda menggunakan Linux dan itu tidak biasa bagi anda SudoBaiklah, saya hanya mengatakan bahawa ia mengejutkan saya. Pada asasnya, setiap kali anda ingin menaip perintah yang memerlukan izin khas, itu adalah perkara pertama yang harus anda ketik, seperti "sudo apt update" pada sistem yang menggunakan APT atau "sudo pacman -Syu" pada sistem yang menggunakan Pacman. Memandangkan ia membolehkan kita melakukan apa sahaja, penting bahawa ia sempurna, dan kita tidak dapat mengatakan bahawa ia berlaku beberapa jam yang lalu.
Penyelidik keselamatan telah melaporkan perincian kerentanan di Sudo boleh dimanfaatkan oleh pengguna yang berniat jahat untuk mendapatkan hak root pada sistem operasi Linux. Penyelidik ini secara khusus menyebut «pelbagai sistem berasaskan Linux«, Tetapi mereka tidak memperincikan yang mana. Ya, saya dapat mengesahkan bahawa Sudo telah diperbaharui pada sistem berasaskan Linux Linux dan Ubuntu, sekurang-kurangnya dalam versi rasmi.
Mungkin kesalahan Sudo yang paling penting dalam sejarah baru-baru ini
Para penyelidik mengatakan ini boleh menjadi kerentanan Sudo yang paling ketara dalam sejarahnya baru-baru ini. Keputusan itu, yang dikenal sebagai Baron Samedit, disenaraikan sebagai CVE-2021 3156- dan yang paling membimbangkan adalah wujud selama hampir sepuluh tahun. Apa yang sedikit menenangkan kita, walaupun tidak terlalu banyak, adalah hanya dapat dimanfaatkan dengan akses fizikal ke peranti.
Penyelidik keselamatan telah berjaya memanfaatkan kelemahan dalam tiga versi dari tiga sistem operasi yang sangat popular: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10, dan Fedora 1.9.2 v33. Mereka tidak mengatakan ini secara langsung, tetapi mereka mengatakan bahawa «mungkin sistem operasi dan pengedaran lain juga terdedah«, Saya ingin mengatakan bahawa ia adalah sesuatu yang praktikal selamat.
Versi Sudo yang memperbaiki bug ini ialah 1.9.5p2:
Sudo sebelum 1.9.5p2 memiliki buffer overflow berasaskan Heap, yang memungkinkan peningkatan hak istimewa untuk root melalui "sudoedit -s" dan argumen baris perintah yang diakhiri dengan satu karakter backslash.
Sedikit lebih setahun yang lalu ia diperbetulkan masalah lain yang serupa, dan walaupun Miter tidak menyebutnya, Canonical memang mengatakan bahawa keutamaan untuk membetulkannya atau graviti tinggi. Memandangkan betapa mudahnya memasang tambalan, walaupun tidak ada yang menyentuh peralatan kami, disarankan untuk mengemas kini secepat mungkin.
Malam tadi saya mendapat kemas kini (versi 1.9.5p2) di Manjaro
Dengan segala hormatnya kepada pengguna Windows 10, kerentanan itu diperbaiki lebih cepat daripada pada OS Microsoft ...