Существует серьезная уязвимость в известном инструменте sudo. Уязвимость возникает из-за ошибки в программировании этого инструмента, которая позволяет любому пользователю, имеющему сеанс в оболочке (даже с включенным SELinux), повысить привилегии до статуса root. Проблема заключается в неисправности sudo парсинга содержимого / proc / [PID] / stat при попытке определить терминал.
Обнаруженная ошибка находится именно в звонке get_process_ttyname () sudo для Linux, который открывает ранее упомянутый каталог для чтения номера устройства tty для поля tty_nr. Эта уязвимость, обозначенная как CVE-2017-1000367, может быть использована для получения системных привилегий, как я уже сказал, поэтому она весьма критична и затрагивает многие известные и важные дистрибутивы. Но и не пугайтесь, теперь мы расскажем, как себя защитить ...
Ну а затронутые дистрибутивы:
- Red Hat Enterprise Linux 6, 7 и сервер
- Oracle Enterprise 6, 7 и сервер
- CentOS Linux 6 и 7
- Debian Wheezy, Джесси, Стретч, Сид
- Ubuntu 14.04 LTS, 16.04 LTS, 16.10 и 17.04
- SuSE LInux Enterpsrise Software Development Kit 12-SP2, сервер для Raspberry Pi 12-SP2, Server 12-SP2 и Desktop 12-SP2
- OpenSuSE
- Slackware
- Gentoo
- Arch Linux
- Fedora
Следовательно, вы должны патч или обновление ваша система как можно скорее, если у вас есть одна из этих систем (или производных):
- Для Debian и производных (Ubuntu, ...):
sudo apt update sudo apt upgrade
- Для RHEL и производных (CentOS, Oracle, ...):
sudo yum update
- В Fedora:
sudo dnf update
- SuSE и производные (OpenSUSE, ...):
sudo zypper update
Arch Linux:
sudo pacman -Syu
- Слэкваре:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- Gentoo:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Какой из них будет использоваться для Archlinux и ранее?
Привет,
При вставке кода произошла ошибка. Теперь вы это видите.
Приветствую и спасибо за советы.
Привет
Ну а для арки и производных sudo pacman -Syyu
Привет.
Вот почему был обновлен sudo ... однако рискованно то, что неизвестно, кто, кроме того, у кого сейчас есть ошибка, кто еще знал. А это может быть рискованно.