Sudo дозволяла отримати права root, навіть якщо це заборонено

1 хв. читання

Утиліта Sudo дозволяє виконувати команди від імені інших користувачів, вона досить популярна і стоїть практично на всіх системах на базі UNIX і Linux. Нещодавно у ній виявили вразливість — вона дозволяла отримати доступ root, навіть якщо налаштування повністю забороняли це.

Якщо зловмисник мав доступ для запуску Sudo, він міг би виконувати будь-які дії в системі як користувач root. Для повного контролю достатньо було просто вказати ідентифікатор -1 або його еквівалент — 4294967295.

root-hacking

Це відбувалося тому, що функція, яка перетворює ідентифікатор на ім'я користувача, працювала неправильно. Вона обробляла -1 (або 4294967295) як 0, а це завжди ідентифікатор користувача root.

Зараз розробники вже виправили цю проблему. Користувачі Linux можуть оновити Sudo до випуску 1.8.28 або ж завантажити патч. Вразливість також усунули в дистрибутивах Debian, Arch Linux, SUSE/openSUSE й Ubuntu.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 1.6K
Приєднався: 1 рік тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід