Beberapa menit yang lalu, Canonical menerbitkan laporan keamanan baru. Kerentanan yang dikoreksi kali ini adalah kerentanan lain yang dapat luput dari perhatian dan kami dapat melewatkannya, tetapi sangat mencolok karena berada dalam sesuatu yang diketahui oleh semua pengguna Ubuntu: perintah sudo. Laporan yang dipublikasikan adalah USN-4154-1 dan, seperti yang Anda duga, ini memengaruhi semua versi Ubuntu yang didukung.
Untuk menentukan lebih banyak, versi yang didukung yang kami rujuk adalah Ubuntu 19.04, Ubuntu 18.04, dan Ubuntu 16.04 dalam siklus normalnya dan Ubuntu 14.04 dan Ubuntu 12.04 dalam versi ESM (Extended Security Maintenance). Jika kita mengakses halaman kerentanan yang diperbaiki, yang diterbitkan oleh Canonical, kita melihat bahwa sudah ada tambalan yang tersedia untuk semua versi yang disebutkan di atas, tetapi Ubuntu 19.10 Eoan Ermine masih terpengaruh karena kita dapat membaca teks dengan warna merah "diperlukan".
sudo diperbarui ke versi 1.8.27 untuk memperbaiki kerentanan
Bug yang diperbaiki adalah CVE-2019-14287, yang dideskripsikan sebagai:
Ketika sudo dikonfigurasi untuk memungkinkan pengguna menjalankan perintah sebagai pengguna sewenang-wenang melalui kata kunci ALL dalam spesifikasi Runas, perintah sebagai root dapat dijalankan dengan menentukan ID pengguna -1 atau 4294967295.
Canonical telah memberi label keputusan itu pada prioritas menengah. Tetap saja, "sudo" dan "root" membuat kita memikirkannya Lockdown, modul keamanan yang akan muncul di Linux 5.4. Modul ini selanjutnya akan membatasi izin, yang lebih aman di satu sisi tetapi di sisi lain akan mencegah pemilik tim menjadi semacam "Tuhan" dengannya. Untuk alasan ini, telah lama terjadi perdebatan tentangnya dan Lockdown akan dinonaktifkan secara default, meskipun alasan utamanya adalah dapat merusak sistem operasi yang ada.
Pembaruan sudah tersedia dari berbagai pusat perangkat lunak. Memperhatikan betapa mudah dan cepatnya mengupdate, secara teori tidak perlu restart, update sekarang.