Kemas kini: kerentanan dalam sudo dapat memungkinkan pengguna yang seharusnya tidak menjalankan perintah sebagai root

Pablinux

Minit 2

Kerentanan dalam sudo

Beberapa minit yang lalu, Canonical menerbitkan laporan keselamatan baru. Kerentanan yang diperbaiki kali ini adalah yang lain yang tidak dapat disedari dan mungkin kita akan terlepas, tetapi sangat mengejutkan kerana berada dalam sesuatu yang diketahui oleh semua pengguna Ubuntu: perintah sudo. Laporan yang diterbitkan adalah USN-4154-1 dan, seperti yang anda jangkakan, ini mempengaruhi semua versi Ubuntu yang disokong.

Untuk menentukan sedikit lagi, versi yang disokong yang kami rujuk adalah Ubuntu 19.04, Ubuntu 18.04, dan Ubuntu 16.04 dalam kitaran normalnya dan Ubuntu 14.04 dan Ubuntu 12.04 dalam versi ESM (Extended Security Maintenance). Sekiranya kita mengakses halaman kerentanan diperbetulkan, yang diterbitkan oleh Canonical, kita melihat bahawa sudah ada tambalan yang tersedia untuk semua versi yang disebutkan di atas, tetapi Ubuntu 19.10 Eoan Ermine masih terpengaruh kerana kita dapat membaca dalam teks dengan warna merah "diperlukan".

Banyak bug dalam kernel Ubuntu- Kemas kini
artikel berkaitan:
Kemas kini: Canonical telah memperbaiki semula banyak bug di kernel Ubuntu

sudo dikemas kini ke versi 1.8.27 untuk memperbaiki kerentanan

Bug yang diperbetulkan adalah CVE-2019 14287-, yang digambarkan sebagai:

Apabila sudo dikonfigurasi untuk memungkinkan pengguna untuk menjalankan perintah sebagai pengguna sewenang-wenang melalui kata kunci SEMUA dalam spesifikasi Runas, adalah mungkin untuk melaksanakan perintah sebagai root dengan menentukan ID pengguna -1 atau 4294967295.

Canonical telah menetapkan keputusan tersebut sebagai keutamaan sederhana. Namun, "sudo" dan "root" membuat kita memikirkan kuncian, modul keselamatan yang akan muncul dengan Linux 5.4. Modul ini akan lebih menyekat kebenaran, yang lebih selamat di satu pihak tetapi di sisi lain ia akan menghalang pemilik pasukan daripada menjadi semacam "Tuhan" dengannya. Atas sebab ini, telah lama ada perdebatan mengenainya dan Lockdown akan dilumpuhkan secara lalai, walaupun alasan utama untuk ini adalah kerana ia boleh merosakkan sistem operasi yang ada.

Kemas kini sudah tersedia dari pusat perisian yang berbeza. Dengan mengambil kira betapa mudah dan cepatnya kemas kini, secara teori tidak perlu dimulakan semula, kemas kini sekarang.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.