`

Schneider Electric - Узнайте все про энергоэффективность ЦОД


СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Недоработка в утилите Linux открывает root-доступ в эту систему

0 
 

Недоработка в утилите Linux открывает root-доступ в эту систему

Новая уязвимость обнаружена в Sudo — одной из наиболее важных и часто используемых утилит, которой комплектуется практически каждая операционная система UNIX и Linux. Баг, получивший наименование CVE-2019-14287, позволяет злоумышленнику или вредоносной программе исполнять любые команды на постороннем Linux-компьютере с правами суперпользователя (root). При этом эксплоит действует даже если root-доступ прямо запрещён администратором в настройках файла sudoers.

Sudo (сокращение от «superuser do») это системная команда, которая позволяет запускать приложения или команды с привилегиями другого пользователя без смены среды. По умолчанию в большинстве дистрибутивов Linux ключевое слово ALL в строке RunAs файла/etc/sudoers позволяет каждому в группах admin или sudo инициировать любую команду от лица любого законного пользователя этой системы.

Более того, чтобы использовать уязвимость, открытую Джо Венниксом (Joe Vennix) из Apple Information Security, злоумышленнику достаточно назначить себе идентификатор «–1» или «4294967295». Функция, преобразующая идентификатор в имя пользователя, некорректно воспринимает –1 или его беззнаковый эквивалент 4294967295 как 0, а этот идентификатор всегда закреплён за root-пользователем.

Новый эксплойт актуален для всех версий Sudo кроме 1.8.28, выпущенной вчера. В ближайшее время выйдут корректирующие эту недоработку обновления для различных дистрибутивов Linux.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

int64 существует в gcc уже лет 20. Нет, все равно надо было заюзають int32 в декларациях такой важнейшей утилиты :((((

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT