Ak používate Linux a neznie vám to dôverne sudoNo, poviem len toľko, že ma to prekvapuje. V zásade, kedykoľvek chcete napísať príkaz, ktorý vyžaduje špeciálne oprávnenie, je to prvá vec, ktorú by ste mali napísať, napríklad „sudo apt update“ v systémoch používajúcich APT alebo „sudo pacman -Syu“ v systémoch používajúcich Pacman. Vzhľadom na to, že nám umožňuje robiť prakticky čokoľvek, je dôležité, aby to bolo dokonalé, a nemôžeme povedať, že to bolo pred pár hodinami.
Vedci z oblasti bezpečnosti informovali o podrobnostiach zraniteľnosti Suda by mohol byť zneužitý používateľom so zlým úmyslom na získanie oprávnení root na operačných systémoch Linux. Títo vedci konkrétne spomínajú «širokú škálu systémov založených na systéme Linux«, Ale neuvádzajú podrobne, ktoré z nich. Áno, môžem potvrdiť, že Sudo už bolo aktualizované na systémoch Arch Linux a Ubuntu, aspoň v oficiálnych verziách.
Pravdepodobne najdôležitejšia chyba Sudo v jeho nedávnej histórii
Vedci tvrdia, že by to mohla byť najvýznamnejšia zraniteľnosť Sudo v jeho nedávnej histórii. Tento rozsudok, známy ako barón Samedit, je uvedený ako CVE-2021 3156, a najviac znepokojujúce je to existovala takmer desať rokov. Čo by nás malo trochu upokojiť, aj keď nie príliš, je to, že to bolo možné zneužiť iba pri fyzickom prístupe k zariadeniu.
Výskumní pracovníci v oblasti bezpečnosti sa im podarilo využiť chybu v troch verziách troch veľmi populárnych operačných systémov: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10 a Fedora 1.9.2 v33. Nehovoria to priamo, ale hovoria to «pravdepodobne sú zraniteľné aj iné operačné systémy a distribúcie«, K čomu by som povedal, že je to niečo prakticky bezpečné.
Verzia Sudo, ktorá opravuje túto chybu, je 1.9.5p2:
Sudo pred 1.9.5p2 má pretečenie medzipamäte na báze haldy, čo umožňuje eskaláciu privilégií rootovať pomocou "sudoedit -s" a argumentom príkazového riadku končiacim jedným znakom spätného lomítka.
Pred niečo vyše rokom sa to napravilo ďalší podobný problém, a hoci Mitre to nezmieňuje, Canonical hovorí, že prioritou je opraviť to alebo gravitácia je vysoká. Vzhľadom na to, aké ľahké je aplikovať opravu, aj keď sa nikto nedotkne nášho vybavenia, odporúča sa aktualizovať čo najskôr.
Včera večer som dostal aktualizáciu (verzia 1.9.5p2) v Manjaro
Pri všetkej úcte k používateľom systému Windows 10 bola zraniteľnosť opravená oveľa rýchlejšie ako v operačnom systéme Microsoft ...