K dispozícii je vážna zraniteľnosť v slávnom nástroji sudo. Zraniteľnosť je spôsobená chybou v programovaní tohto nástroja, ktorá umožňuje každému používateľovi, ktorý má reláciu v shelli (aj keď je povolený SELinux), eskalovať privilégiá, aby sa stal rootom. Problém spočíva v nefunkčnosti sudo pri analýze obsahu / proc / [PID] / stat pri pokuse o určenie terminálu.
Zistená chyba je konkrétne vo volaní get_process_ttyname () sudo pre Linux, ktorý otvára vyššie uvedený adresár na čítanie čísla zariadenia tty pre pole tty_nr. Túto chybu zabezpečenia katalogizovanú ako CVE-2017-1000367 je možné zneužiť na získanie systémových privilégií, ako som už uviedol, takže je dosť kritický a ovplyvňuje mnoho známych a dôležitých distribúcií. Ale tiež sa nebojte, teraz vám hovoríme, ako sa chrániť ...
No, ovplyvnené distribúcie sú:
- Red Hat Enterprise Linux 6, 7 a Server
- Oracle Enterprise 6, 7 a Server
- CentOS Linux 6 a 7
- Debian Wheezy, Jessie, Stretch, Sid
- Ubuntu 14.04 LTS, 16.04 LTS, 16.10 a 17.04
- SuSE LInux Enterpsrise Software Development Kit 12-SP2, Server pre Raspberry Pi 12-SP2, Server 12-SP2 a Desktop 12-SP2
- SuSE
- Slackware
- gentoo
- Arch Linux
- Fedora
Preto musíte oprava alebo aktualizácia váš systém ASAP, ak máte jeden z týchto systémov (alebo derivátov):
- Pre Debian a deriváty (Ubuntu, ...):
sudo apt update sudo apt upgrade
- Pre RHEL a deriváty (CentOS, Oracle, ...):
sudo yum update
- Vo Fedore:
sudo dnf update
- SuSE a deriváty (OpenSUSE, ...):
sudo zypper update
Arch Linux:
sudo pacman -Syu
- Slackware:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- Gentoo:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Ktorý z nich by sa použil pre Archlinux a staršie verzie?
Dobrý deň,
Pri vkladaní kódu sa vyskytla chyba. Teraz to vidíte.
Zdravím a ďakujem za radu.
Dobrý deň:
No, pre arch a deriváty sudo pacman -Syyu
Zdravím.
Takže preto bolo sudo aktualizované ... riskantnou vecou je však skutočnosť, že nie je známe, kto okrem toho, kto má teraz chybu, kto ešte vedel. A to môže byť riskantné.