Якщо ви використовуєте Linux, і це вам не здається звичним СудоНу, дозвольте просто сказати, що це мене дивує. В основному, коли ви хочете ввести команду, яка вимагає спеціальних дозволів, це перше, що ви повинні ввести, наприклад, "sudo apt update" в системах, що використовують APT, або "sudo pacman -Syu" в системах, що використовують Pacman. Враховуючи, що це дозволяє нам робити практично все, важливо, щоб воно було досконалим, і ми не можемо сказати, що це було кілька годин тому.
Дослідники з питань безпеки повідомили подробиці вразливості в Судо може бути використаний зловмисним користувачем для отримання root прав в операційних системах Linux. Ці дослідники спеціально зазначають «широкий спектр систем на базі Linux«, Але вони не деталізують, які саме. Так, я можу підтвердити, що Sudo вже оновлено для систем на базі Arch Linux та Ubuntu, принаймні в офіційних версіях.
Мабуть, найважливіший глюк судо в його новітній історії
Дослідники стверджують, що це може бути найзначнішою вразливістю судо в його недавній історії. Постанова, відома як барон Самедіт, значиться як CVE-2021-3156 і найбільше турбує те, що існував майже десять років. Що мало б заспокоїти нас, хоча і не надто сильно, це те, що його можна використовувати лише з фізичним доступом до пристрою.
Дослідники з питань безпеки вдалося використати недолік у трьох версіях трьох дуже популярних операційних систем: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10 та Fedora 1.9.2 v33.Це не говорять прямо, але кажуть, що «ймовірно, інші операційні системи та дистрибутиви також вразливі«, На що я б сказав, що це щось практично безпечне.
Версія Sudo, яка виправляє цю помилку, становить 1.9.5p2:
Sudo до 1.9.5p2 має переповнення буфера на основі купи, що дозволяє ескалацію привілеїв викорінюватися через "sudoedit -s" та аргумент командного рядка, що закінчується одним символом зворотної косої риски.
Трохи більше року тому це було виправлено ще одна подібна проблема, і хоча Мітра про це не згадує, Canonical каже, що пріоритет виправити це чи сила тяжіння висока. Враховуючи, наскільки легко застосувати патч, навіть якщо ніхто не торкається нашого обладнання, рекомендується оновити якнайшвидше.
Вчора ввечері я отримав оновлення (версія 1.9.5p2) у Manjaro
При всій повазі до користувачів Windows 10, вразливість виправлялася набагато швидше, ніж в ОС Microsoft ...