`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Недоработка в утилите Linux открывает root-доступ в эту систему

0 
 

Недоработка в утилите Linux открывает root-доступ в эту систему

Новая уязвимость обнаружена в Sudo — одной из наиболее важных и часто используемых утилит, которой комплектуется практически каждая операционная система UNIX и Linux. Баг, получивший наименование CVE-2019-14287, позволяет злоумышленнику или вредоносной программе исполнять любые команды на постороннем Linux-компьютере с правами суперпользователя (root). При этом эксплоит действует даже если root-доступ прямо запрещён администратором в настройках файла sudoers.

Sudo (сокращение от «superuser do») это системная команда, которая позволяет запускать приложения или команды с привилегиями другого пользователя без смены среды. По умолчанию в большинстве дистрибутивов Linux ключевое слово ALL в строке RunAs файла/etc/sudoers позволяет каждому в группах admin или sudo инициировать любую команду от лица любого законного пользователя этой системы.

Более того, чтобы использовать уязвимость, открытую Джо Венниксом (Joe Vennix) из Apple Information Security, злоумышленнику достаточно назначить себе идентификатор «–1» или «4294967295». Функция, преобразующая идентификатор в имя пользователя, некорректно воспринимает –1 или его беззнаковый эквивалент 4294967295 как 0, а этот идентификатор всегда закреплён за root-пользователем.

Новый эксплойт актуален для всех версий Sudo кроме 1.8.28, выпущенной вчера. В ближайшее время выйдут корректирующие эту недоработку обновления для различных дистрибутивов Linux.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

int64 существует в gcc уже лет 20. Нет, все равно надо было заюзають int32 в декларациях такой важнейшей утилиты :((((

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT