Суббота, 23 января, 10:28
дома безопасность Новая ошибка в команде sudo подвергает риску пользователей Linux

Новая ошибка в команде sudo подвергает риску пользователей Linux

Недавно была обнаружена уязвимость в команде Linux sudo (супер пользователь делает). Это может позволить пользователям, которые не имеют прав выполнять команды как корень, Хорошей новостью является то, что не все Linux были затронуты серверы, так как это тип уязвимости, который затрагивает только неформальные конфигурации.

Sudo

Но прежде всего давайте посмотрим, как работает команда sudo и как ее можно настроить. Когда команды выполняются на операционная система В Linux неавторизованные пользователи могут использовать команду sudo для выполнения команд от имени пользователя root. Основным требованием является то, что они лицензированы или знают пароль, корня.

Команда sudo может быть настроена так, чтобы пользователь выполнять команды от имени другого пользователя, добавляя специальные инструкции в файл конфигурации. Следующие команды позволяют пользователю `test` выполнять команды / usr / bin / vim и / usr / bin / id от имени любого пользователя, кроме root.

Когда пользователь создается в Linux, он получает UID. Пользователи могут использовать эти UID вместо имени пользователя при запуске sudo.

Давайте вернемся к этому сейчас уязвимость, Исследователь безопасности Apple Джо Венникс обнаружил один ошибка который позволяет пользователям запускать команду sudo от имени пользователя root, используя UID «-1» или «4294967295». Например, следующая команда может использовать эту ошибку для запуска пользователя / usr / bin / id от имени root, даже если `test 'отказался сделать это в / etc / sudoers.

Правда в том, что это серьезная ошибка, но важно знать, что она может работать, только если у пользователя есть доступ к команде через файл sudoers. В противном случае эта ошибка не будет иметь никакого эффекта.

Sudo

Чтобы иметь возможность использовать уязвимость, пользователь должен настроить один командаинструкция sudoer, которая может запускать другие команды.

Хотя это ошибка он, очевидно, мощный, он все еще может использоваться только в неформальных конфигурациях, которые не затронут подавляющее большинство пользователей Linux.

Что пользователи используют инструкции sudoers, лучше всего обновиться до sudo 1.8.28 или позже как можно скорее.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

ЖИВЫЕ НОВОСТИ

Обзор процессоров Intel: Core i7-10700 против Core i7-10700K!

За прошедшие годы серия процессоров (ЦП) Intel представила серию оверклокерских моделей "K", а в последнее время - серию ...

DeLorean может вернуться как электромобиль

DMC DeLorean снят с производства почти 40 лет, но похоже, что культовый автомобиль вернется в качестве электромобиля.

Серверы Windows RDP используются для поддержки DDoS

Банды киберпреступников злоупотребляют системами протокола удаленного рабочего стола Windows (RDP), чтобы усилить нежелательные ...

SEPA: Он отказался платить выкуп, и тысячи файлов были утечкой

Тысячи украденных файлов Шотландского агентства по охране окружающей среды (SEPA) были опубликованы хакерами после того, как организация отказалась платить выкуп ...

Штрафы Valve, Capcom и Zenimax за геоисключение игр

В результате расследования Европейской комиссии группа издателей видеоигр была оштрафована на 7,8 млн евро по обвинениям в применении методов геоисключения. В...

Биткойн помогает среднему классу пережить пандемию

Регулирующие органы по-прежнему подразумевают, что биткойн - это просто инструмент для преступников, но похоже, что для среднего класса ...

Выпущен Lightworks 2021.1 для Linux, Mac и Windows

Многоплатформенное программное обеспечение для редактирования видео Lightworks Professional получило первое крупное обновление Lightworks 2021.1 для Windows, Linux и Mac.

Netflix: посмотрите 9 лучших аниме-фильмов всех времен

Одним из плюсов пандемии было то, что многие люди познакомились с миром аниме. А проблема с аниме в том ...

CHwapi: Windows BitLocker «поразила» бельгийскую больницу!

Больница CHwapi в Бельгии подверглась кибератаке 17 января, когда хакеры заявили, что зашифровали 40 серверов и 100 ...

Лотереи CPU / GPU: Newegg продает немногие на рынке

Нехватка оборудования не редкость, но пандемия усугубила ситуацию. Вся планета закрыта для ...