Pred niekoľkými minútami spoločnosť Canonical zverejnila novú správu o zabezpečení. Zraniteľnosť, ktorá bola tentokrát opravená, je ďalšou z tých, ktoré by mohli zostať nepovšimnuté a mohli by sme prehliadnuť, ale je zarážajúce, že sú v niečom, čo všetci používatelia Ubuntu vedia: príkaz sudo. Zverejnená správa je USN-4154-1 a ako možno čakáte, ovplyvňuje všetky podporované verzie Ubuntu.
Aby sme špecifikovali niečo viac, sú podporované verzie, na ktoré odkazujeme Ubuntu 19.04, Ubuntu 18.04 a Ubuntu 16.04 v normálnom cykle a Ubuntu 14.04 a Ubuntu 12.04 vo verzii ESM (Extended Security Maintenance). Ak vstúpime na stránku opravená zraniteľnosť, publikovaný spoločnosťou Canonical, vidíme, že už existujú opravy pre všetky verzie spomenuté vyššie, ale Ubuntu 19.10 Eoan Ermine je stále ovplyvnený, ako si môžeme prečítať v texte červenou farbou „needed“.
sudo je aktualizovaná na verziu 1.8.27 s cieľom opraviť chybu zabezpečenia
Opravenou chybou je CVE-2019 14287,, ktorý je opísaný ako:
Keď je sudo nakonfigurované tak, aby umožňovalo používateľovi vykonávať príkazy ako ľubovoľný užívateľ pomocou kľúčového slova ALL v špecifikácii Runas, je možné vykonávať príkazy ako root zadaním ID užívateľa -1 alebo 4294967295.
Spoločnosť Canonical označila toto rozhodnutie za zo dňa stredná priorita. „Sudo“ a „root“ nás stále nútia myslieť na Lockdown, bezpečnostný modul, ktorý sa objaví v systéme Linux 5.4. Tento modul ďalej obmedzí oprávnenia, ktoré sú na jednej strane bezpečnejšie, na druhej strane však zabránia majiteľom tímu, aby s nimi boli akýmsi „Bohom“. Z tohto dôvodu sa o ňom dlho diskutovalo a funkcia Lockdown bude predvolene deaktivovaná, hoci hlavným dôvodom je to, že by mohlo dôjsť k poškodeniu existujúcich operačných systémov.
Aktualizácia je už k dispozícii v rôznych softvérových centrách. Ak vezmeme do úvahy, aká ľahká a rýchla je aktualizácia, teoreticky nie je potrebné ju reštartovať, aktualizujte teraz.