Kilka minut temu firma Canonical opublikowała nowy raport o bezpieczeństwie. Naprawiona tym razem luka jest kolejną luką, która mogła pozostać niezauważona i mogliśmy ją przeoczyć, ale jest uderzająca, ponieważ znajdujemy się w czymś, o czym wiedzą wszyscy użytkownicy Ubuntu: comando sudo. Opublikowany raport to USN-4154-1 i, jak można się spodziewać, dotyczy wszystkich obsługiwanych wersji Ubuntu.
Aby określić trochę więcej, obsługiwane wersje, do których się odnosimy, to Ubuntu 19.04, Ubuntu 18.04 i Ubuntu 16.04 w normalnym cyklu oraz Ubuntu 14.04 i Ubuntu 12.04 w wersji ESM (Extended Security Maintenance). Jeśli uzyskamy dostęp do strony poprawiona luka w zabezpieczeniach, ten opublikowany przez Canonical, widzimy, że są już dostępne łaty dla wszystkich wymienionych powyżej wersji, ale że Ubuntu 19.10 Eoan Ermine wciąż jest dotknięte, jak możemy przeczytać w tekście na czerwono „potrzebne”.
sudo została zaktualizowana do wersji 1.8.27 w celu usunięcia luki
Poprawiony błąd to CVE-2019-14287, który jest opisany jako:
Gdy sudo jest skonfigurowane tak, aby umożliwić użytkownikowi wykonywanie poleceń jako dowolny użytkownik za pomocą słowa kluczowego ALL w specyfikacji Runas, możliwe jest wykonywanie poleceń jako root, określając ID użytkownika -1 lub 4294967295.
Firma Canonical oznaczyła orzeczenie jako dnia średni priorytet. Mimo to „sudo” i „root” przywodzą na myśl Lockdown, moduł bezpieczeństwa, który pojawi się w Linuksie 5.4. Moduł ten jeszcze bardziej ograniczy uprawnienia, co z jednej strony jest bezpieczniejsze, ale z drugiej strony uniemożliwi właścicielom zespołu bycie przy nim swego rodzaju „Bogiem”. Z tego powodu od dawna trwa debata na ten temat i blokada zostanie domyślnie wyłączona, chociaż głównym powodem jest to, że może uszkodzić istniejące systemy operacyjne.
Aktualizacja jest już dostępna w różnych centrach oprogramowania. Biorąc pod uwagę, jak łatwa i szybka jest aktualizacja, teoretycznie nie jest konieczne ponowne uruchamianie, aktualizuj teraz.