Існує серйозна вразливість у відомому інструменті sudo. Уразливість пов'язана з помилкою в програмуванні цього інструменту, що дозволяє будь-якому користувачеві, який має сеанс у оболонці (навіть із увімкненим SELinux), ескалацію привілеїв перетворити на root. Проблема полягає в неправильній роботі sudo при синтаксичному аналізі вмісту / proc / [PID] / stat при спробі визначити термінал.
Виявлена помилка саме у дзвінку get_process_ttyname () sudo для Linux, який відкриває згаданий раніше каталог для зчитування номера пристрою tty для поля tty_nr. Цю вразливість, занесену в каталог CVE-2017-1000367, можна використовувати для отримання системних привілеїв, як я вже сказав, тому вона є досить критичною і впливає на багато відомих та важливих дистрибутивів. Але не лякайтеся теж, тепер ми розповімо вам, як захиститися ...
Ну, уражені розподіли:
- Red Hat Enterprise Linux 6, 7 та Server
- Oracle Enterprise 6, 7 та Server
- CentOS Linux 6 і 7
- Дебіан Візі, Джессі, Стретч, Сід
- Ubuntu 14.04 LTS, 16.04 LTS, 16.10 та 17.04
- Набір для розробки програмного забезпечення SuSE LInux Enterpsrise 12-SP2, сервер для Raspberry Pi 12-SP2, сервер 12-SP2 та настільний 12-SP2
- OpenSuSE
- Slackware
- Gentoo
- Arch Linux
- Fedora
Тому ти мусиш виправлення або оновлення якомога швидше у вашій системі, якщо у вас є одна з цих систем (або похідних):
- Для Debian та похідних (Ubuntu, ...):
sudo apt update sudo apt upgrade
- Для RHEL та похідних (CentOS, Oracle, ...):
sudo yum update
- У Fedora:
sudo dnf update
- SuSE та похідні (OpenSUSE, ...):
sudo zypper update
Arch Linux:
sudo pacman -Syu
- Slackware:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- Gentoo:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Який з них використовуватиметься для Archlinux та раніше?
Привіт
Під час вставки коду сталася помилка. Тепер ви можете це побачити.
Вітаю та дякую за пораду.
Привіт
Ну, а для arch та похідних sudo pacman -Syyu
Привіт.
Отож, тому sudo оновилося ... проте, ризикованим є той факт, що невідомо, хто, крім того, у кого зараз є помилка, хто ще знав. А це може бути ризиковано.