SUDO: обнаружена критическая уязвимость безопасности

Исследовательская группа Qualys обнаружила уязвимость перелива кучи в судо почти повсеместная утилита, доступная на основных Unix-подобных операционных системах. Любой непривилегированные пользователи может быть установлен на уязвимом узле с Стандартная конфигурация Судо получить привилегии root, воспользовавшись этой уязвимостью.

Sudo - это мощная утилита, входящая в состав большинства, если не всех, операционных систем на базе Unix и Linux. Он позволяет пользователям запускать программы с привилегиями безопасности другого пользователя. Сама по себе уязвимость является почти 10 лет остались скрытыми. Он был представлен в июле 2011 года (commit 8255ed69) и затрагивает все унаследованные версии от 1.8.2 до 1.8.31p2 и все стабильные версии от 1.9.0 до 1.9.5p1 в их конфигурации по умолчанию.

Успешная эксплуатация этой уязвимости позволяет любому непривилегированному пользователю получить привилегии root на уязвимом хосте. Исследователи Qualys Security смогли самостоятельно проверить уязвимость и разработать несколько вариантов эксплойта, а также получить полные привилегии root на Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) и Fedora 33 (Sudo 1.9.2).

Вполне вероятно, что и другие операционные системы и дистрибутивы также пригодны для использования.

Моя система повреждена?

Если система все еще использует уязвимую версию sudo, вы можете проверить это, вызвав эту команду:

судоэдит -с/

Если на выходе, например:

/.../ Не обычный файл

отображается, затем уязвима sudo версия.

Обновленное sudo выводит следующую обратную связь:

использование: sudoedit [-AknS] [-r роль] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] файл ...

К счастью, уже есть патчи, которые были применены до релиза, если вы активировали автообновление.

Поэтому настоятельно рекомендуется по возможности обновлять все пакеты Linux автоматически.

Оригинальное сообщение по адресу Квалификаторы в блоге

Советы по безопасности дистрибуции

Текущие статьи

Общие сведения

Откройте для себя идеальный хостинг для ваших инструментов онлайн-графиков

Представьте себе цифровую мастерскую, где потоки данных стекаются со всех сторон и в итоге превращаются в красивые диаграммы. Онлайн-инструменты для создания диаграмм - это современные кисти и

Некатегоризированный

Почему оптимизация времени загрузки имеет решающее значение для ваших конверсий

В современную цифровую эпоху пользователи Интернета ожидают молниеносной работы при посещении веб-сайта. Длительное время загрузки не только приводит к ухудшению пользовательского восприятия, но и может

Общие сведения

Эффективное управление безопасностью: руководство по безопасному веб-хостингу

Веб-хостинг является основой любого присутствия в Интернете. Это касается и личных блогов, и бизнес-сайтов фрилансеров, и сайтов целых компаний. В настоящее время, когда