For noen minutter siden publiserte Canonical en ny sikkerhetsrapport. Sårbarheten som er korrigert denne gangen, er en annen av de som kan gå ubemerket og vi kunne ha savnet, men det er slående for å være i noe som alle Ubuntu-brukere vet: comando sudo. Den publiserte rapporten er USN-4154-1 og som du kanskje forventer, påvirker det alle støttede Ubuntu-versjoner.
For å spesifisere litt mer, er de støttede versjonene vi refererer til Ubuntu 19.04, Ubuntu 18.04 og Ubuntu 16.04 i sin normale syklus og Ubuntu 14.04 og Ubuntu 12.04 i sin ESM-versjon (Extended Security Maintenance). Hvis vi får tilgang til siden til korrigert sårbarhet, den som ble publisert av Canonical, ser vi at det allerede er oppdateringer tilgjengelig for alle versjonene nevnt ovenfor, men at Ubuntu 19.10 Eoan Ermine fremdeles er berørt, ettersom vi kan lese i teksten i rødt "nødvendig".
sudo er oppdatert til versjon 1.8.27 for å rette opp et sikkerhetsproblem
Den korrigerte feilen er CVE-2019-14287, som er beskrevet som:
Når sudo er konfigurert til å tillate en bruker å utføre kommandoer som en vilkårlig bruker via ALL-nøkkelordet i en Runas-spesifikasjon, er det mulig å utføre kommandoer som root ved å spesifisere bruker-ID -1 eller 4294967295.
Canonical har merket kjennelsen fra og med middels prioritet. Likevel får "sudo" og "root" oss til å tenke på Lockdown, en sikkerhetsmodul som vil komme til syne med Linux 5.4. Denne modulen vil ytterligere begrense tillatelsene, som er sikrere på den ene siden, men på den andre siden vil det forhindre eierne av et team fra å være en slags "Gud" med den. Av denne grunn har det vært en debatt om det i lang tid, og Lockdown vil være deaktivert som standard, selv om hovedårsaken til dette er at det kan skade eksisterende operativsystemer.
Oppdateringen er allerede tilgjengelig fra de forskjellige programvaresentrene. Med tanke på hvor enkelt og raskt det er å oppdatere, er det i teorien ikke nødvendig å starte på nytt, oppdater nå.