Alerto sa seguridad: bug sa sudo CVE-2017-1000367

May ay isang matinding kahinaan sa sikat na sudo tool. Ang kahinaan ay dahil sa isang bug sa pag-program ng tool na ito na nagpapahintulot sa sinumang gumagamit na may isang session sa shell (kahit na pinagana ang SELinux) upang mapalaki ang mga pribilehiyo upang maging ugat. Ang problema ay nakasalalay sa hindi paggana ng sudo pag-parse ng nilalaman ng / proc / [PID] / stat kapag sinusubukang tukuyin ang terminal.

Ang bug na natuklasan ay partikular sa tawag get_process_ttyname () sudo para sa Linux, na kung saan ay magbubukas ng dati nang nabanggit na direktoryo upang mabasa ang numero ng aparato tty para sa tty_nr na patlang. Ang kahinaan na naka-catalog bilang CVE-2017-1000367 ay maaaring samantalahin upang makakuha ng mga pribilehiyo ng system, tulad ng sinabi ko, kaya't ito ay kritikal at nakakaapekto sa maraming kilalang at mahahalagang pamamahagi. Ngunit huwag ka ring matakot, ngayon sasabihin namin sa iyo kung paano protektahan ang iyong sarili ...

Sa gayon, ang apektadong mga pamamahagi ay:

1. Red Hat Enterprise Linux 6, 7 at Server
2. Oracle Enterprise 6, 7 at Server
3. CentOS Linux 6 at 7
4. Debian Wheezy, Jessie, Stretch, Sid
5. Ubuntu 14.04 LTS, 16.04 LTS, 16.10 at 17.04
6. SuSE LInux Enterpsrise Software Development Kit 12-SP2, Server para sa Raspberry Pi 12-SP2, Server 12-SP2 at Desktop 12-SP2
7. OpenSuSE
8. Slackware
9. Gentoo
10. Arch Linux
11. Fedora

Samakatuwid, kailangan mo patch o update ang iyong system ASAP kung mayroon kang isa sa mga system (o derivatives):

• Para sa Debian at derivatives (Ubuntu, ...):

sudo apt update

sudo apt upgrade

• Para sa RHEL at mga derivatives (CentOS, Oracle, ...):

sudo yum update

• Sa Fedora:

sudo dnf update

• SuSE at mga derivative (OpenSUSE, ...):

sudo zypper update

Arch Linux:

sudo pacman -Syu

• Slackware:

upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz

• Gentoo:

emerge --sync

emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"