В команде Linux sudo найдена уязвимость безопасности

Оставить комментарий
В команде Linux sudo найдена уязвимость безопасности

Разработчики обнаружили и исправили уязвимость безопасности в команде sudo, которая давала возможность запрашивать root-доступ, даже если это запрещает конфигурация, пишет Engadget. Если у злоумышленника был достаточный доступ для того, чтобы запустить команду sudo, он мог выполнять любое целевое действие на атакуемом устройстве.

Команда sudo, знакомая пользователям командной строки в Linux или UNIX-системах вроде macOS, — это программа для системного администрирования, которая позволяет делегировать привилегированные ресурсы пользователям с ведением протокола работы. Основная идея — дать пользователям как можно меньше прав, но достаточно для решения поставленных задач.

Проблема заключалась в том, как в sudo происходит обработка пользовательских ID. При вводе команды с идентификатором пользователя -1 или 4294967295 она выполняется так, как если бы имелся root-доступ (идентификатор пользователя 0), даже если в журнал был записан фактический идентификатор. Указанные ID не существуют в базе данных паролей, поэтому для их использования команде не требуется пароль.

Пользователи Linux могут установить обновление пакета sudo (1.8.28 и новее), где исправлена ошибка.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Читайте также

Линус Торвальдс высказался за вакцинацию и «вежливо» попросил антипрививочника держать своё мнение при себе
Линус Торвальдс высказался за вакцинацию и «вежливо» попросил антипрививочника держать своё мнение при себе
Линус Торвальдс высказался за вакцинацию и «вежливо» попросил антипрививочника держать своё мнение при себе
5 комментариев
Как Microsoft 13 лет шла от «Linux — это рак» до «Microsoft любит Linux»
Как Microsoft 13 лет шла от «Linux — это рак» до «Microsoft любит Linux»
Как Microsoft 13 лет шла от «Linux — это рак» до «Microsoft любит Linux»
В 2001 году тогдашний СЕО Microsoft Стив Балмер окрестил Linux не иначе как «раковой опухолью» на теле интеллектуальной собственности. Спустя 13 лет компания призналась в «любви» к Linux. InsiderPro проследил, как менялось отношение Microsoft к открытой операционной системе и опенсорсному движению за эти годы.
3 комментария
В технологии Wi-Fi нашли опасные уязвимости 24-летней давности
В технологии Wi-Fi нашли опасные уязвимости 24-летней давности
В технологии Wi-Fi нашли опасные уязвимости 24-летней давности
Почти треть всех смартфонов мира в опасности из-за уязвимости Qualcomm
Почти треть всех смартфонов мира в опасности из-за уязвимости Qualcomm
Почти треть всех смартфонов мира в опасности из-за уязвимости Qualcomm

Обсуждение

Комментариев пока нет.
Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже