Πέμπτη, 28 Μαΐου, 22:29
Αρχική security Νέο bug της εντολής sudo θέτει σε κίνδυνο τους χρήστες Linux

Νέο bug της εντολής sudo θέτει σε κίνδυνο τους χρήστες Linux

Πρόσφατα εντοπίστηκε μια ευπάθεια στην εντολή Linux sudo(super user do). Αυτή θα μπορούσε να επιτρέψει σε χρήστες που δεν έχουν δικαιώματα να εκτελούν εντολές ως root. Τα καλά νέα είναι ότι δεν έχουν επηρεαστεί όλοι οι Linux servers, καθώς είναι είδος ευπάθειας που επηρεάζει μόνο σε άτυπες παραμετροποιήσεις.

sudo

Πριν από όλα όμως, ας δούμε τον τρόπο με τον οποίο λειτουργεί η εντολή sudo και πως μπορεί να ρυθμιστεί. Όταν εκτελούνται εντολές σε λειτουργικό σύστημα Linux, οι χρήστες χωρίς δικαιώματα έχουν τη δυνατότητα να χρησιμοποιήσουν την εντολή sudo με σκοπό να εκτελέσουν εντολές ως root. Βασική προϋπόθεση είναι να τους έχει δοθεί άδεια ή να γνωρίζουν το password του root.

Η εντολή sudo μπορεί να ρυθμιστεί με τέτοιον τρόπο, ώστε να επιτρέπει σε έναν χρήστη να εκτελεί εντολές ως άλλος χρήστης, προσθέτοντας ειδικές οδηγίες στο αρχείο των παραμέτρων. Οι παρακάτω εντολές επιτρέπουν στον χρήστη `test` να εκτελεί τις εντολές / usr / bin / vim και / usr / bin / id ως οποιοσδήποτε χρήστης, εκτός από root.

Όταν δημιουργείται ένας χρήστης στα Linux, λαμβάνει ένα UID. Οι χρήστες, μπορούν να χρησιμοποιήσουν αυτά τα UID αντί για ένα username κατά την εκκίνηση της εντολής sudo.

Ας επανέλθουμε τώρα στην εν λόγω ευπάθεια. Ο ερευνητής ασφαλείας της Apple, Joe Vennix, ανακάλυψε ένα bug που επιτρέπει στους χρήστες να εκκινήσουν μια εντολή sudo ως root χρησιμοποιώντας το “-1” ή “4294967295” UID. Για παράδειγμα, η ακόλουθη εντολή θα μπορούσε να χρησιμοποιήσει αυτό το σφάλμα για να ξεκινήσει τον χρήστη / usr / bin / id ως root, παρόλο που ο χρήστης `test ‘αρνήθηκε να το κάνει στο αρχείο / etc / sudoers.

Η αλήθεια είναι ότι πρόκειται για ένα ισχυρό σφάλμα, όμως είναι σημαντικό να γνωρίζουμε ότι μπορεί να λειτουργήσει μόνο αν ένας χρήστης έχει πρόσβαση σε μια εντολή μέσω του αρχείου sudoers. Διαφορετικά αυτό το σφάλμα δεν θα έχει κανένα αποτέλεσμα.

sudo

Για να είναι εφικτό να γίνει exploit μια ευπάθεια, ένας χρήστης θα πρέπει να έχει ρυθμισμένη για μια εντολή, μια οδηγία sudoer που να μπορεί να εκκινήσει άλλες εντολές.

Ενώ αυτό το σφάλμα είναι προφανώς ισχυρό, μπορεί ακόμα να χρησιμοποιηθεί μόνο υπό άτυπες παραμετροποιήσεις που δεν θα επηρεάσουν τη συντριπτική πλειοψηφία των χρηστών του Linux.

Όσοι χρήστες χρησιμοποιούν οδηγίες sudoers, είναι καλύτερα να αναβαθμίσουν σε sudo 1.8.28 ή και μεταγενέστερο όσο πιο σύντομα γίνεται.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Οι αναβαθμίσεις και τα νέα χαρακτηριστικά των Windows 10 2004!

Από σήμερα ξεκίνησε η κυκλοφορία της νέας ενημερωμένης έκδοσης των Windows 10, γνωστή ως "Windows 10 2004" ή "Windows 10 May 2020",...

Ποιες είναι οι αγαπημένες γλώσσες προγραμματισμού για το 2020;

Το Stack Overflow, ένα από τα μεγαλύτερα sites για programming Q&A, ανακοίνωσε τα αποτελέσματα από το Developer...

Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα ελαττώματα της εφαρμογής Mail

Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας στον κυβερνοχώρο προέτρεψε σήμερα τους χρήστες iOS να εγκαταστήσουν αμέσως τις ενημερώσεις ασφαλείας iOS και iPadOS που...

Instagram: Ενίσχυση εισοδήματος δημιουργών με διαφημίσεις στο IGTV

To Instagram φέρνει διαφημίσεις και στο IGTV, με το 55% των εσόδων να διατίθεται στους δημιουργούς. Το μέσο κοινωνικής δικτύωσης έκανε την...

Τα Windows 10 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3

Η Microsoft ανακοίνωσε ότι τα Windows 10, έκδοση 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3 για gigabit ταχύτητες και καλύτερη απόδοση,...

Το CoreOS Container Linux της Red Hat φτάνει στο τέλος του

Όπως ανακοινώθηκε πρόσφατα από τον Benjamin Gilbert, τεχνικό του Fedora CoreOS, η υποστήριξη του CoreOS Container Linux,...

Ο Donald Trump απειλεί να κλείσει τις πλατφόρμες κοινωνικής δικτύωσης

Όπως δήλωσε σε ένα πρόσφατο tweet του, ο Πρόεδρος των ΗΠΑ Donald Trump, σκοπεύει να αλλάξει τον...

Αγωγή στη Google για τις πρακτικές παρακολούθησης χρηστών

Η Google δέχτηκε μια αγωγή από τον γενικό εισαγγελέα της Αριζόνα, Mark Brnovich, σχετικά με τις πρακτικές...

Michigan State University: Δέχτηκε ransomware επίθεση!

Οι hackers που βρίσκονται πίσω από το NetWalker ransomware, γνωστό και ως Mailto, ανακοίνωσαν ότι έχουν μολύνει...

Linux Kodachi: Κυκλοφόρησε η έκδοση v7.0 με πολλές νέες εφαρμογές

Πρόσφατα, κυκλοφόρησε η νέα έκδοση του Linux Kodachi. Αν και δεν είναι αρκετά γνωστό, το λειτουργικό αυτό...