Pokud používáte Linux a nezní vám to povědomě SudoDovolte mi jen říct, že mě to překvapuje. V zásadě, kdykoli chcete zadat příkaz, který vyžaduje speciální oprávnění, je to první věc, kterou byste měli zadat, například „sudo apt update“ v systémech používajících APT nebo „sudo pacman -Syu“ v systémech používajících Pacman. Vzhledem k tomu, že nám umožňuje dělat prakticky cokoli, je důležité, aby to bylo perfektní, a nemůžeme říci, že to bylo před několika hodinami.
Bezpečnostní vědci ohlásili podrobnosti zranitelnosti v Sudu by mohl být zneužit uživatelem se zlými úmysly k získání oprávnění root v operačních systémech Linux. Tito vědci výslovně zmiňují «širokou škálu systémů založených na Linuxu«, Ale neuvádějí podrobně, které z nich. Ano, mohu potvrdit, že Sudo již bylo aktualizováno na systémech založených na Arch Linux a Ubuntu, alespoň v oficiálních verzích.
Pravděpodobně nejdůležitější závada Sudo v jeho nedávné historii
Vědci tvrdí, že by to mohla být nejvýznamnější zranitelnost Sudo v jeho nedávné historii. Rozhodnutí, známé jako Baron Samedit, je uvedeno jako CVE-2021-3156 a nejvíce znepokojující je to existovala téměř deset let. Co by nás mělo trochu uklidnit, i když ne příliš, je to, že by to mohlo být zneužito pouze fyzickým přístupem k zařízení.
Bezpečnostní výzkumníci se podařilo zneužít chybu ve třech verzích tří velmi populárních operačních systémů: Ubuntu 1.8.31 v20.04, Debian 1.8.27 v10 a Fedora 1.9.2 v33. Neříkají to přímo, ale říkají, že «pravděpodobně jsou zranitelné i jiné operační systémy a distribuce«, K čemuž bych řekl, že je to něco prakticky bezpečného.
Verze Sudo, která opravuje tuto chybu, je 1.9.5p2:
Sudo před 1.9.5p2 má přetečení vyrovnávací paměti založené na haldě, což umožňuje eskalaci privilegií rootovat pomocí „sudoedit -s“ a argumentem příkazového řádku končícím jediným znakem zpětného lomítka.
Před více než rokem to bylo opraveno další podobný problémA ačkoli to Mitre nezmiňuje, Canonical říká, že prioritou je opravit jej nebo gravitace je vysoká. Vzhledem k tomu, jak snadné je použití opravy, i když se našeho vybavení nikdo nedotkne, doporučujeme provést aktualizaci co nejdříve.
Včera v noci jsem dostal aktualizaci (verze 1.9.5p2) v Manjaro
Se vší úctou k uživatelům Windows 10 byla chyba zabezpečení opravena mnohem rychleji než v operačním systému Microsoft ...