A Sudo ismét frissítésre kerül, ezúttal annak megakadályozása érdekében, hogy a hackerek parancsokat futtassanak root felhasználóként

Néhány órával ezelőtt a Canonical közzétett egy biztonsági jelentést, amelyben a sebezhetőség a sudo parancsban. Eleinte nem figyeltem rá különösebben, mert alacsony prioritásúként jelölték meg, de végül úgy döntöttem, hogy megírom ezt a cikket, mert ez az egyik leggyakrabban használt parancs a Linux-alapú disztribúciókban. Ezenkívül a biztonsági hiba lehetővé teheti a hackerek számára a root hozzáférést és a parancsok végrehajtását.

Legalább két csapat vagy projekt jelentette ezt a sebezhetőséget. Az egyik a Project Debian, amely elsőként publikál az információ múlt szombaton, megemlítve, hogy az érintett rendszer a Debian 9 "Stretch". Másrészt a Canonical jelentésben jelent meg USN-4263-1, ahol egyetlen sebezhetőségről beszél, amely az Ubuntu összes verzióját érinti, amely még mindig támogatott természetes kifejezésük szerint, amelyek az Ubuntu 19.10, az Ubuntu 18.04 LTS és az Ubuntu 16.04 LTS.

Kisebb Sudo frissítés a biztonság érdekében

A Project Debian és a Canonical is ugyanazon biztonsági hibáról mesél nekünk, a CVE-2019 18634- amelynek leírása részletesen egy «puffertúlcsordulás a sudo-ban, amikor a pwfeedback engedélyezve van«. Ha azt felcímkézték alacsony prioritású mert a hibát nem könnyű kihasználni: a Sudoers-ben a rendszergazdának engedélyeznie kell a "pwfeedback" funkciót. Amint arról a Nemzeti sebezhetőségi adatbázis beszámol, «Ha a pwfeedback engedélyezve van az / etc / sudoers fájlban, a felhasználók kiválthatják a verem alapú puffer túlcsordulást a privilegizált sudo folyamatban”.

Szokás szerint a Canonical közzétette a biztonsági jelentést, miután kiadta a hibát kijavító javításokat, így a Sudo frissítése és védelem ez ellen olyan egyszerű, mint a Szoftverközpont (vagy a Szoftverfrissítés) megnyitása és a telepítés az új csomagok, amelyek már várni fognak ránk. A Canonical szerint a változtatások életbe lépéséhez nem szükséges újraindítani az operációs rendszert.