Кілька хвилин тому Canonical опублікував новий звіт про безпеку. Виправлена вразливість цього разу - це ще одна з тих, які можуть залишитися непоміченими, і ми могли б пропустити, але вражає тим, що перебуваю в чомусь, що всім користувачам Ubuntu відомо: команда Суду. Опублікований звіт є УСН-4154-1 і, як ви могли очікувати, це впливає на всі підтримувані версії Ubuntu.
Щоб уточнити трохи більше, підтримуються версії, на які ми посилаємось Ubuntu 19.04, Ubuntu 18.04 та Ubuntu 16.04 у своєму звичайному циклі та Ubuntu 14.04 та Ubuntu 12.04 у своїй версії ESM (Розширене технічне обслуговування). Якщо ми заходимо на сторінку виправлена вразливість, опублікованому Canonical, ми бачимо, що вже є доступні виправлення для всіх згаданих версій, але на Ubuntu 19.10 Eoan Ermine все ще впливає, оскільки ми можемо прочитати в тексті червоним кольором "потрібне".
Суду оновлено до версії 1.8.27 для виправлення вразливості
Виправлена помилка CVE-2019-14287, що описується як:
Коли sudo налаштовано на те, щоб дозволити користувачеві виконувати команди як довільного користувача за допомогою ключового слова ALL у специфікації Runas, можна виконувати команди як root, вказавши ідентифікатор користувача -1 або 4294967295.
Canonical позначив постанову станом на середній пріоритет. Тим не менше, "sudo" і "root" змушують нас думати Lockdown, модуль безпеки, який з’явиться у Linux 5.4. Цей модуль додатково обмежить дозволи, що, з одного боку, є більш безпечним, але, з іншого боку, заважатиме власникам команди бути свого роду "Богом" з нею. З цієї причини тривалий час ведуться суперечки щодо цього, і Блокування буде вимкнено за замовчуванням, хоча основна причина цього полягає в тому, що це може пошкодити існуючі операційні системи.
Оновлення вже доступне в різних центрах програмного забезпечення. Беручи до уваги, наскільки легко та швидко це оновлення, теоретично не потрібно перезапускати, оновіть зараз.