Om du använder Linux och det låter inte bekant för dig sudoLåt mig bara säga att det överraskar mig. I grund och botten, när du vill skriva ett kommando som kräver särskilda behörigheter, är det det första du ska skriva, som "sudo apt update" på system som använder APT eller "sudo pacman -Syu" på system som använder Pacman. Med tanke på att det tillåter oss att göra praktiskt taget vad som helst är det viktigt att det är perfekt, och vi kan inte säga att det var för några timmar sedan.
Säkerhetsforskare har rapporterat detaljer om en sårbarhet i Sudo som kan utnyttjas av en skadlig användare för att få root-behörigheter på Linux-operativsystem. Dessa forskare nämner specifikt «ett brett utbud av Linux-baserade system«, Men de beskriver inte vilka. Ja, jag kan bekräfta att Sudo redan har uppdaterats på Arch Linux-baserade och Ubuntu-baserade system, åtminstone i de officiella smakerna.
Förmodligen den viktigaste Sudo-glitchen i dess senaste historia
Forskare säger att detta kan vara Sudos viktigaste sårbarhet i ny historia. Domen, känd som Baron Samedit, listas som CVE-2021-3156 och det mest oroande är det fanns i nästan tio år. Vad som borde lugna oss lite, även om det inte är för mycket, är att det bara kunde utnyttjas med fysisk åtkomst till enheten.
Säkerhetsforskare har lyckats utnyttja felet i tre versioner av tre mycket populära operativsystem: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10 och Fedora 1.9.2 v33 De säger inte detta direkt, men de säger att «förmodligen är andra operativsystem och distributioner också sårbara«Till vilket jag skulle säga att det är något praktiskt säkert.
Den version av Sudo som fixar detta fel är 1.9.5p2:
Sudo före 1.9.5p2 har ett Heap-baserat buffertöverflöde, vilket gör att rättighetsökningen kan rotas via "sudoedit -s" och ett kommandoradsargument som slutar med ett enda bakåtvänd snedstreck.
För drygt ett år sedan korrigerades det ett annat liknande problem, och även om Mitre inte nämner det, säger Canonical att prioriteten att korrigera den eller gravitationen är hög. Med tanke på hur enkelt det är att applicera plåstret, även om ingen vidrör vår utrustning, rekommenderas det att uppdatera så snart som möjligt.
I går kväll fick jag uppdateringen (version 1.9.5p2) i Manjaro
Med all respekt för Windows 10-användare lappades sårbarheten mycket snabbare än på Microsofts operativsystem ...