For et par minutter siden offentliggjorde Canonical en ny sikkerhedsrapport. Sårbarheden korrigeret denne gang er en anden af dem, der kunne gå ubemærket hen, og vi kunne have gået glip af det, men det er slående, fordi det er i noget, som alle Ubuntu-brugere kender: comando sudo. Den offentliggjorte rapport er USN-4154-1 og som du måske forventer, påvirker det alle understøttede Ubuntu-versioner.
For at specificere lidt mere er de understøttede versioner, som vi henviser til Ubuntu 19.04, Ubuntu 18.04 og Ubuntu 16.04 i sin normale cyklus og Ubuntu 14.04 og Ubuntu 12.04 i sin ESM-version (Extended Security Maintenance). Hvis vi får adgang til siden af korrigeret sårbarhed, den, der er udgivet af Canonical, ser vi, at der allerede findes patches til alle ovennævnte versioner, men at Ubuntu 19.10 Eoan Ermine stadig er påvirket, da vi kan læse i teksten i rødt "nødvendig".
sudo opdateres til version 1.8.27 for at rette en sårbarhed
Den korrigerede fejl er CVE-2019-14287, der er beskrevet som:
Når sudo er konfigureret til at tillade en bruger at udføre kommandoer som en vilkårlig bruger via ALL-nøgleordet i en Runas-specifikation, er det muligt at udføre kommandoer som root ved at angive bruger-ID -1 eller 4294967295.
Canonical har mærket afgørelsen pr mellemprioritet. Stadig får "sudo" og "root" os til at tænke på Lockdown, et sikkerhedsmodul, der får sit udseende med Linux 5.4. Dette modul vil yderligere begrænse tilladelserne, hvilket er mere sikkert på den ene side, men på den anden side vil det forhindre ejerne af et hold i at være en slags "Gud" med det. Af denne grund har der været debat om det i lang tid, og Lockdown vil være deaktiveret som standard, selvom hovedårsagen til, at dette er tilfældet, er, at det kan skade eksisterende operativsystemer.
Opdateringen er allerede tilgængelig fra de forskellige softwarecentre. Under hensyntagen til hvor let og hurtigt det er at opdatere, er det i teorien ikke nødvendigt at genstarte, opdater nu.