Sudo снова обновляется, на этот раз, чтобы хакеры не могли выполнять команды от имени пользователя root.

Несколько часов назад Canonical опубликовала отчет о безопасности, в котором говорится о уязвимость в команде sudo. Сначала я не обращал на нее особого внимания, потому что она была помечена как низкий приоритет, но в конце концов я решил написать эту статью, потому что это одна из наиболее часто используемых команд в дистрибутивах на базе Linux. Кроме того, уязвимость безопасности может позволить хакерам получить root-доступ и выполнять команды.

По крайней мере, две команды или проекта сообщили об этой уязвимости. Один из них - Project Debian, первый опубликовавший информация в прошлую субботу упоминалось, что затронутой системой является Debian 9 "Stretch". С другой стороны, Canonical опубликовала в отчете УСН-4263-1, где он говорит об одной уязвимости, которая влияет на все версии Ubuntu, которые все еще поддерживаются в их естественных терминах, которыми являются Ubuntu 19.10, Ubuntu 18.04 LTS и Ubuntu 16.04 LTS.

Незначительное обновление Sudo для безопасности

И Project Debian, и Canonical говорят нам об одном и том же недостатке безопасности, CVE-2019-18634 в описании которого содержится «переполнение буфера в sudo при включении pwfeedback«. Если он был помечен как низкий приоритет это потому, что ошибку нелегко использовать: "pwfeedback" должен быть включен в Sudoers системным администратором. Как сообщает Национальная база данных уязвимостей, «Если pwfeedback включен в / etc / sudoers, пользователи могут запускать переполнение буфера на основе стека в привилегированном процессе sudo.».

Как обычно, Canonical опубликовала отчет о безопасности после выпуска исправлений, исправляющих ошибку, поэтому обновить Sudo и защититься от него так же просто, как открыть Центр программного обеспечения (или Обновление программного обеспечения) и установить новые пакеты, которые нас уже ждут. Согласно Canonical, для того, чтобы изменения вступили в силу, не потребуется перезапускать операционную систему.