Уязвимость Sudo может дать злоумышленнику root-доступ в системах Linux

Sudo уязвимость

Если вы используете Linux, и он вам не знаком СудоЧто ж, позвольте мне сказать, что это меня удивляет. По сути, всякий раз, когда вы хотите ввести команду, требующую специальных разрешений, это первое, что вы должны ввести, например, «sudo apt update» в системах, использующих APT, или «sudo pacman -Syu» в системах, использующих Pacman. Учитывая, что он позволяет нам делать практически все, важно, чтобы он был идеальным, и мы не можем сказать, что это было несколько часов назад.

Исследователи безопасности сообщили подробности об уязвимости в Sudo, которая может быть использован злоумышленником для получения привилегий root в операционных системах Linux. Эти исследователи особо отмечают «широкий спектр систем на базе Linux«, Но они не уточняют, какие именно. Да, я могу подтвердить, что Sudo уже был обновлен в системах на основе Arch Linux и Ubuntu, по крайней мере, в официальных версиях.

Вероятно, самый важный глюк Судо в его недавней истории

Исследователи говорят, что это могло быть самой значительной уязвимостью Судо в новейшей истории. Правление, известное как Барон Самедит, указано как CVE-2021-3156 и самое тревожное то, что просуществовал почти десять лет. Что должно немного успокоить, хотя и не слишком, так это то, что его можно использовать только при физическом доступе к устройству.

Исследователи безопасности удалось использовать уязвимость в трех версиях трех очень популярных операционных систем.: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10 и Fedora 1.9.2 v33. Они не говорят об этом прямо, но они говорят, что «вероятно, другие операционные системы и дистрибутивы также уязвимы«, На что я бы сказал, что это что-то практически безопасное.

Версия Sudo, которая исправляет эту ошибку, - 1.9.5p2:

В Sudo до 1.9.5p2 было переполнение буфера на основе кучи, что позволяло повысить привилегии до root с помощью «sudoedit -s» и аргумента командной строки, заканчивающегося одним символом обратной косой черты.

Чуть больше года назад поправили другая похожая проблема, и хотя Митра не упоминает об этом, Canonical заявляет, что приоритетом является исправление этого или гравитация высокая. Учитывая, насколько легко применить патч, даже если к нашему оборудованию никто не прикасался, рекомендуется выполнить обновление как можно скорее.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

2 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Данило Алехандро Киспе Лукана сказал

    Прошлой ночью получил обновление (версия 1.9.5p2) в Manjaro

  2.   Пабло Санчес сказал

    При всем уважении к пользователям Windows 10 уязвимость была исправлена ​​намного быстрее, чем в ОС Microsoft ...