Có một lỗ hổng nghiêm trọng trong công cụ sudo nổi tiếng. Lỗ hổng bảo mật là do một lỗi trong lập trình của công cụ này, cho phép bất kỳ người dùng nào có phiên trong shell (ngay cả khi đã bật SELinux) nâng cao đặc quyền để trở thành root. Vấn đề nằm ở sự cố sudo phân tích nội dung của / proc / [PID] / stat khi cố gắng xác định thiết bị đầu cuối.
Lỗi được phát hiện cụ thể là trong cuộc gọi get_process_ttyname () sudo cho Linux, là phần mềm mở thư mục đã đề cập trước đó để đọc số thiết bị tty cho trường tty_nr. Lỗ hổng được liệt kê là CVE-2017-1000367 này có thể bị khai thác để đạt được các đặc quyền của hệ thống, như tôi đã nói, vì vậy nó khá nghiêm trọng và ảnh hưởng đến nhiều bản phân phối nổi tiếng và quan trọng. Nhưng cũng đừng sợ, bây giờ chúng tôi xin mách bạn cách tự bảo vệ mình ...
Chà, phân phối bị ảnh hưởng là:
- Red Hat Enterprise Linux 6, 7 và Máy chủ
- Oracle Enterprise 6, 7 và Server
- CentOS Linux 6 và 7
- Debian Wheezy, Jessie, Căng da, Sid
- Ubuntu 14.04 LTS, 16.04 LTS, 16.10 và 17.04
- Bộ phát triển phần mềm SuSE LInux Enterpsrise 12-SP2, Máy chủ cho Raspberry Pi 12-SP2, Máy chủ 12-SP2 và Máy tính để bàn 12-SP2
- mởSuSE
- Slackware
- Gentoo
- Arch Linux
- Fedora
Do đó, bạn phải vá hoặc cập nhật hệ thống của bạn càng sớm càng tốt nếu bạn có một trong các hệ thống này (hoặc các hệ thống phái sinh):
- Đối với Debian và các dẫn xuất (Ubuntu, ...):
sudo apt update sudo apt upgrade
- Đối với RHEL và các dẫn xuất (CentOS, Oracle, ...):
sudo yum update
- Trong Fedora:
sudo dnf update
- SuSE và các dẫn xuất (OpenSUSE, ...):
sudo zypper update
Arch Linux:
sudo pacman -Syu
- Phần mềm lười biếng:
upgradepkg sudo-1.8.20p1-i586-1_slack14.2.txz
- Gentoo:
emerge --sync emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.20_p1"
Cái nào sẽ được sử dụng cho Archlinux trở về trước?
Xin chào,
Đã xảy ra lỗi khi chèn mã. Bây giờ bạn có thể nhìn thấy nó.
Xin chào và cảm ơn đã tư vấn.
Hi
Đối với vòm và các dẫn xuất sudo pacman -Syyu
Chúc mừng.
Vì vậy, đó là lý do tại sao sudo được cập nhật ... dù sao, điều rủi ro là thực tế là không biết ai, ngoài người hiện có lỗi, ai khác biết. Và điều đó có thể rủi ro.