Afgelopen 27 januari, vandaag slechts een week geleden, we deden echo van een kwetsbaarheid in Sudo die op Linux gebaseerde besturingssystemen trof. Dat was wat we begrepen, want zo verklaarden ze het, op basis van de officiële informatie, waar ze Ubuntu, Debian en Fedora noemden als getroffen systemen. Ze zeiden ook dat het waarschijnlijk ook van invloed was op andere distributies, en vandaag hebben we geleerd dat er onder de getroffen besturingssystemen ook andere zijn gebaseerd op UNIX, zoals BSD en de macOS van Apple.
De kwetsbaarheid werd ontdekt door Qualys, een bedrijf gevestigd in Californië, of meer specifiek, zij waren degenen die erin slaagden misbruik te maken van een kwetsbaarheid die al ongeveer tien jaar bestond. Linux-gebruikers zijn al beschermd, maar macOS-gebruikers zijn dat nog steeds niet. Dit is bevestigd door Matthew Hickey, van Hacker House, die verzekert dat de sudo kwetsbaarheid het heeft ook invloed op het systeem dat door Macs wordt gebruikt.
Moeilijker te repareren op macOS dan op Linux
CVE-2021-3156 heeft ook gevolgen @appel MacOS Big Sur (momenteel niet gepatcht), kunt u exploitatie van het probleem mogelijk maken door sudo naar sudoedit te symboliseren en vervolgens de heap-overflow te activeren om iemands privileges te laten escaleren naar 1337 uid = 0. Leuk voor @ p0sixninja pic.twitter.com/tyXFB3odxE
- Hacker fantastisch? (@hackerfantastic) 2 februari 2021
CVE-2021-3156 is ook van invloed op Apple's macOS Big Sur (momenteel niet gepatcht), je kunt misbruik van het probleem mogelijk maken door sudo symbolisch te koppelen aan sudoedit en vervolgens heap-overflow te activeren om privileges te schalen van één naar 1337 uid = 0. Leuk voor @ p0sixninja.
Van wat we kunnen lezen in de Hickey's Twitter-accountIs een van de meest verwoestende bugs in de geschiedenis van UNIX / Linuxaangezien het invloed had op Linux en nog steeds van invloed is op macOS, Solaris en andere niet-glibc-systemen. En wat het systeem van Apple betreft, ontwikkelaars kunnen de patch maken, maar het kan nog even duren voordat het bedrijf deze toepast op zijn besturingssysteem. Geldt tot macOS 11.2.
Voor sommige ontwikkelaars, zoals osx-server, vinden ze het grappig dat, hoewel ze weten hoe ze het zelf moeten oplossen, ze kunnen het niet doen vanwege privérechten, dus ze zullen moeten wachten tot Apple een update uitbrengt om een bug op te lossen die in Linux een week lang is gecorrigeerd. En dat is een van de pluspunten van het gebruik van software zoals we die hier gebruiken.