Новости Software

Уязвимость в Sudo позволяет выполнять команды с правами суперпользователя на устройствах с Linux

Стало известно об обнаружении уязвимости в команде Sudo (super user do) для Linux. Эксплуатация данной уязвимости позволяет непривилегированным пользователям или программам осуществлять выполнение команд с правами суперпользователя. Отмечается, что уязвимость затрагивает системы с нестандартными настройками и не касается большинства серверов, работающих под управлением Linux.

Уязвимость возникает в случаях, когда используются настройки конфигурации Sudo, позволяющие выполнять команды от имени других пользователей. Кроме того, Sudo может быть сконфигурирована особым образом, за счёт чего можно осуществлять запуск команд от имени других пользователей, за исключением суперпользователя. Для этого необходимо внести соответствующие корректировки в конфигурационный файл.

Суть проблемы заключается в том, как Sudo обрабатывает идентификаторы пользователей. Если вы ввели в командную строку идентификатор пользователя -1 или его эквивалент 4294967295, то запускаемая команда может быть выполнена с правами суперпользователя. Поскольку указанные идентификаторы пользователей не значатся в базе данных паролей, для выполнения команды не потребуется ввод пароля.

Для снижения вероятности возникновения проблем, связанных с указанной уязвимостью, пользователям рекомендуется как можно быстрее обновить Sudo до версии 1.8.28 или более актуальной. В сообщении говорится, что в новой версии Sudo параметр -1 больше не используется в качестве идентификатора пользователя. Это означает, что злоумышленники не смогут воспользоваться данной уязвимостью.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Жива, но к релизу не спешит: инсайдер рассказал о тестовой версии Beyond Good and Evil 2 29 мин.
Нарисованная от руки метроидвания Islets предложит объединить раздробленный мир — до релиза меньше двух недель 33 мин.
Мобильная игра Square Enix по мотивам «Аватар: Легенда об Аанге» получила название и сроки ограниченного запуска 34 мин.
Чумной ролевой экшен Thymesia появится на Nintendo Switch, но лишь в облачном формате 2 ч.
Минпромторг России представил предложения по импортозамещению в сфере критической инфраструктуры 10 ч.
МТС создает конкурента «Ростелеком-Солар» в сфере кибербезопасности 11 ч.
Выход тактической ролевой игры Metal Slug Tactics перенесли на будущий год 12 ч.
Начало раннего доступа сетевого симулятора выживания Nightingale откладывается — игру улучшают и переводят на Unreal Engine 5 13 ч.
«Одержимый» роглайт Cult of the Lamb добрался до прилавков и приглянулся критикам 13 ч.
Uptime Institute: сервисы в облаках можно сделать значительно устойчивее к сбоям, но в этом случае они обойдутся намного дороже 13 ч.
Новый бренд смартфонов — французский Wiko, официально вышел на российский рынок 23 мин.
Apple рассчитывает сохранить высокий объём продаж iPhone в 2022 году даже на фоне общего замедления рынка 2 ч.
Параллельный импорт может не справиться с увеличением спроса на электронику в России 2 ч.
К 2025 году половина новых смартфонов Samsung премиум-уровня будут с гибкими дисплеями 2 ч.
К началу следующего года SK hynix определится с местом строительства предприятия в США 2 ч.
Сроки ожидания поставок полупроводниковых компонентов сокращаются уже третий месяц подряд 3 ч.
Даже в условиях санкций китайская SMIC смогла увеличить квартальную выручку на 41,6 % 4 ч.
SpaceX получила лицензию на запуск секретных военных спутников с помощью ракеты Falcon Heavy 5 ч.
Xiaomi представила TWS-наушники Buds 4 Pro: до 38 часов автономности и активное шумоподавление за $163 9 ч.
ASUS ROG представила игровой роутер Rapture GT-AX11000 Pro с поддержкой Wi-Fi 6 и UNII 4 9 ч.