Sudo se vuelve a actualizar, esta vez para evitar que hackers ejecuten comandos como root

Vulnetabilidad en sudo

Hace unas hora, Canonical ha publicado un informe de seguridad en el que nos habla de una vulnerabilidad en el comando Sudo. En un principio, no le hice mucho caso por estar etiquetada de prioridad baja, pero finalmente me he decidido a escribir este artículo por tratarse de uno de los comandos más usados en distribuciones basadas en Linux. Además, el fallo de seguridad podría permitir a hackers conseguir acceso root y ejecutar comandos.

Sobre esta vulnerabilidad han informado al menos dos equipos o proyectos. Uno es Project Debian, el primero en publicar la información el pasado sábado, mencionando que el sistema afectado es Debian 9 «Stretch». Por otra parte, Canonical ha publicado en informe USN-4263-1, donde nos habla de una única vulnerabilidad que afecta a todas las versiones de Ubuntu que aún disfrutan de soporte en su plazo natural, que son Ubuntu 19.10, Ubuntu 18.04 LTS y Ubuntu 16.04 LTS.

Actualización menor de Sudo por seguridad

Tanto Project Debian como Canonical nos hablan del mismo fallo de seguridad, un CVE-2019-18634 cuya descripción detalla un «desbordamiento de búfer en sudo cuando pwfeedback está habilitado«. Si se ha etiquetado como de prioridad baja es porque no es fácil explotar el fallo: «pwfeedback» tiene que estar activado en Sudoers por el administrador del sistema. Tal y como informa National Vulnerability Database, «Si pwfeedback está habilitado en /etc/sudoers, los usuarios pueden activar un desbordamiento de búfer basado en pila en el proceso de sudo privilegiado«.

Como es habitual, Canonical ha publicado el informe de seguridad una vez ha lanzado los parches que solucionan el fallo, por lo que actualizar Sudo y protegernos de él es tan sencillo como abrir el Centro de Software (o Actualización de software) e instalar los nuevos paquetes que ya nos estarán esperando. Según Canonical, no será necesario reiniciar el sistema operativo para que los cambios surtan efecto.


2 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Fernando dijo

    Lo habitual, mantener nuestro Ubuntu actualizado y problema resuelto.

  2.   Alejandro Scan Caceres dijo

    Me mega encanta Linux yo soy de Lima Peru y me encanta mi sistema Ubuntu y los juegos son very cheberes Y Lo Bueno es q Linux es para gente que sabe de sistemas o esta en ese camino xq la instalacion de algo me mega exita Very like this Linux whit Ubuntu program very Like bros!