ಇತ್ತೀಚೆಗೆ ರುಇ ಸುಡೋದಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿದಿದೆ, ಕ್ಯು ಭದ್ರತಾ ನೀತಿಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಲಿನಕ್ಸ್ ಆಧಾರಿತ ವಿತರಣೆಗಳಲ್ಲಿ ರೂಟ್ ಬಳಕೆದಾರರಾಗಿ ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸಲು ಬಳಕೆದಾರರನ್ನು ಅನುಮತಿಸಬಹುದು, ಆ ಮೂಲ ಪ್ರವೇಶವನ್ನು ನಿರ್ದಿಷ್ಟವಾಗಿ ಅನುಮತಿಸದಿದ್ದರೂ ಸಹ. ಈ ನಿರ್ಣಾಯಕ ನ್ಯೂನತೆಯನ್ನು ಆಪಲ್ ಮಾಹಿತಿ ಭದ್ರತೆಯ ಜೋ ವೆನಿಕ್ಸ್ ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ.
ಈ ದುರ್ಬಲತೆಯನ್ನು ಈಗಾಗಲೇ ಸರಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಪ್ಯಾಚ್ ಲಿನಕ್ಸ್ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಗಂಭೀರ ಪರಿಣಾಮಗಳನ್ನು ತಡೆಯುತ್ತದೆ. ಅದೇನೇ ಇದ್ದರೂ, ಸುಡೋನ ದುರ್ಬಲತೆಯು ಕಿರಿದಾದ ವಿಭಾಗಕ್ಕೆ ಮಾತ್ರ ಅಪಾಯವನ್ನುಂಟುಮಾಡಿದೆ ಲಿನಕ್ಸ್ ಬಳಕೆದಾರರು, ಕ್ವೆಸ್ಟ್ ಸಾಫ್ಟ್ವೇರ್ನ ಸಾಫ್ಟ್ವೇರ್ ಡೆವಲಪರ್ ಮತ್ತು ಹಿರಿಯ ಎಂಜಿನಿಯರ್ ಮತ್ತು ಓಪನ್ ಸೋರ್ಸ್ ಪ್ರಾಜೆಕ್ಟ್ "ಸುಡೋ" ನ ನಿರ್ವಹಣೆ ಟಾಡ್ ಮಿಲ್ಲರ್ ಅವರ ಪ್ರಕಾರ.
Su ಹೆಚ್ಚಿನ ಸುಡೋ ಸೆಟ್ಟಿಂಗ್ಗಳು ದೋಷದಿಂದ ಪ್ರಭಾವಿತವಾಗುವುದಿಲ್ಲ. ವ್ಯಾಪಾರೇತರ ಮನೆ ಬಳಕೆದಾರರು ಯಾವುದೇ ಪರಿಣಾಮ ಬೀರುವ ಸಾಧ್ಯತೆಯಿಲ್ಲ »
ಹೆಚ್ಚಿನ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, / etc / sudoers ಫೈಲ್ನಲ್ಲಿನ RunAs ವಿವರಣೆಯಲ್ಲಿನ ಎಲ್ಲಾ ಕೀವರ್ಡ್ ನಿರ್ವಾಹಕ ಅಥವಾ ಸುಡೋ ಗುಂಪುಗಳ ಬಳಕೆದಾರರಿಗೆ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಯಾವುದೇ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ಏಕೆಂದರೆ ಸವಲತ್ತುಗಳ ಪ್ರತ್ಯೇಕತೆ ಇದು ಲಿನಕ್ಸ್ನಲ್ಲಿನ ಮೂಲಭೂತ ಭದ್ರತಾ ಮಾದರಿಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ, ಯಾರು ಏನು ಮಾಡಲು ಅನುಮತಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನಿಖರವಾಗಿ ವ್ಯಾಖ್ಯಾನಿಸಲು ನಿರ್ವಾಹಕರು ಸುಡೋರ್ ಫೈಲ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು (ನಿರ್ದಿಷ್ಟ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಿ).
ಹೊಸ ದುರ್ಬಲತೆ ಸಿವಿಇ -2019-14287. ಸವಲತ್ತು ಪಡೆದ ಬಳಕೆದಾರ ಅಥವಾ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರೋಗ್ರಾಂ ನೀಡಿ ಸಾಕು ಕ್ರಿಯೆಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಅಥವಾ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ರೂಟ್ನಂತೆ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯ (ಅಥವಾ ಸೂಪರ್ಯುಸರ್) ಗುರಿ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ, "ಸುಡೋರ್ಸ್ ಕಾನ್ಫಿಗರೇಶನ್" ಈ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸದಿದ್ದಾಗ.
"-1" ಅಥವಾ "429496967295" ID ಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ ಆಕ್ರಮಣಕಾರರು ಈ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಏಕೆಂದರೆ ಕಾರ್ಯ ID ಯನ್ನು ಬಳಕೆದಾರಹೆಸರಿಗೆ ಪರಿವರ್ತಿಸುವ ಜವಾಬ್ದಾರಿ ಈ ಎರಡು ಮೌಲ್ಯಗಳನ್ನು ನಿಖರವಾಗಿ ಪರಿಗಣಿಸುತ್ತದೆ '0', ಇದು 'ಸೂಪರ್ಯುಸರ್' ID ಗೆ ಅನುರೂಪವಾಗಿದೆ.
ಮೂಲವನ್ನು ಹೊರತುಪಡಿಸಿ ಬೇರೆ ಯಾವುದೇ ಬಳಕೆದಾರರಂತೆ ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನೀವು "ಎಕ್ಸ್" ಬಳಕೆದಾರರನ್ನು ಮೈಬಾಕ್ಸ್ ಸರ್ವರ್ನಲ್ಲಿ ಸುಡೋರ್ ಆಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದೀರಿ ಎಂದು ಭಾವಿಸೋಣ: »ಎಕ್ಸ್ ಮೈಬಾಕ್ಸ್ = (ಎಲ್ಲ ,! ರೂಟ್) / ಯುಎಸ್ಆರ್ / ಬಿನ್ / ಕಮಾಂಡ್".
ಇತರ ಬಳಕೆದಾರರ ಫೈಲ್ಗಳು ಮತ್ತು ಚಟುವಟಿಕೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ನೀವು ಎಕ್ಸ್ ಅನ್ನು ನಂಬಬಹುದು, ಆದರೆ ಅವರಿಗೆ ಸೂಪರ್ ಯೂಸರ್ ಪ್ರವೇಶವಿಲ್ಲ.
ಇದು ರೂಟ್ ಹೊರತುಪಡಿಸಿ ಬೇರೆಯವರಂತೆ ಆಜ್ಞೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು "ಎಕ್ಸ್" ಬಳಕೆದಾರರನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಆದಾಗ್ಯೂ, ಎಕ್ಸ್ "ಸುಡೋ-ಯು # -1 ಐಡಿ-ಯು" ಅಥವಾ "-ಯು # 429496967295 ಐಡಿ-ಯು" ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದರೆ, ನೀವು ನಿರ್ಬಂಧವನ್ನು ಬೈಪಾಸ್ ಮಾಡಬಹುದು ಮತ್ತು ನಿಮ್ಮ ಆಯ್ಕೆಯ ಆಜ್ಞೆಯನ್ನು ಎಕ್ಸ್ ಗೆ ರೂಟ್ ಆಗಿ ಚಲಾಯಿಸಬಹುದು.
ಅಲ್ಲದೆ, -u ಆಯ್ಕೆಯ ಮೂಲಕ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಐಡಿ ಪಾಸ್ವರ್ಡ್ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಕಾರಣ, ಯಾವುದೇ ಎಕ್ಸ್ ಸೆಷನ್ ಮಾಡ್ಯೂಲ್ಗಳು ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ.
ಈ ದುರ್ಬಲತೆಯು "ರೂನ್ಗಳು" ಬಳಕೆದಾರರ ಪಟ್ಟಿಯನ್ನು ಹೊಂದಿರುವ ಸುಡೋ ಕಾನ್ಫಿಗರೇಶನ್ಗಳಿಗೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ, ಮೂಲವನ್ನು ಹೊರತುಪಡಿಸಿ. ರೂಟ್ ಅನ್ನು ಇತರ ವಿಧಾನಗಳಿಂದಲೂ ಗುರುತಿಸಬಹುದು: ಅದರ ಹೆಸರಿನ ID ಯಿಂದ "ಬಳಕೆದಾರ ALL = (ALL ,! # 0) / usr / bin / command" ನೊಂದಿಗೆ ಅಥವಾ ರೂನಾಸ್ ಅಲಿಯಾಸ್ ಅನ್ನು ಉಲ್ಲೇಖಿಸಿ.
ಆದ್ದರಿಂದ, ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸಲಾದ ನಿರ್ದಿಷ್ಟ ಸನ್ನಿವೇಶದಲ್ಲಿರೂಟ್ ಹೊರತುಪಡಿಸಿ ಬೇರೆ ಯಾವುದೇ ಬಳಕೆದಾರರಂತೆ, ಈ ಸುರಕ್ಷತಾ ನೀತಿಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ಸಿಸ್ಟಮ್ನ ಸಂಪೂರ್ಣ ನಿಯಂತ್ರಣವನ್ನು ರೂಟ್ನಂತೆ ತೆಗೆದುಕೊಳ್ಳಲು ದುರ್ಬಲತೆ ಇನ್ನೂ ನಿಮಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ.
ಇತ್ತೀಚಿನ ಆವೃತ್ತಿ 1.8.28 ಕ್ಕಿಂತ ಮೊದಲು ದುರ್ಬಲತೆಯು ಸುಡೋದ ಎಲ್ಲಾ ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಇದು ಇತ್ತೀಚೆಗೆ ಬಿಡುಗಡೆಯಾಯಿತು ಮತ್ತು ಶೀಘ್ರದಲ್ಲೇ ವಿವಿಧ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳ ನವೀಕರಣವಾಗಿ ಹೊರಹೊಮ್ಮಲಿದೆ.
ದಾಳಿಯು ಸುಡೋರ್ಸ್ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನ ನಿರ್ದಿಷ್ಟ ಬಳಕೆಯ ಸಂದರ್ಭದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದರಿಂದ, ಇದು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಬಳಕೆದಾರರ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಬಾರದು.
ಆದಾಗ್ಯೂ, ಎಲ್ಲಾ ಲಿನಕ್ಸ್ ಬಳಕೆದಾರರಿಗೆ, ಅವರು ನವೀಕರಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ ಆದಷ್ಟು ಬೇಗ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಗೆ ಸುಡೋ ಪ್ಯಾಕೇಜ್.
ಅಭಿವರ್ಧಕರು ಹಲವಾರು ದಿನಗಳ ಹಿಂದೆ ಸುಡೋಗಾಗಿ ಪ್ಯಾಚ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದ ಕಾರಣ. ಆದಾಗ್ಯೂ, ಇದನ್ನು ಪ್ರತಿ ಲಿನಕ್ಸ್ ವಿತರಣೆಗೆ ಪ್ಯಾಕೇಜ್ ಮಾಡಬೇಕು ಮತ್ತು ಲಿನಕ್ಸ್ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂಗಳನ್ನು ನಿರ್ವಹಿಸುವ ನೂರಾರು ಲಿನಕ್ಸ್ ಸಮುದಾಯಗಳಲ್ಲಿ ವಿತರಿಸಬೇಕು, ಈ ಪ್ಯಾಕೇಜ್ ಕೆಲವು ವಿತರಣೆಗಳಿಗೆ ಕೆಲವು ದಿನಗಳು ತೆಗೆದುಕೊಳ್ಳಬಹುದು.
ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಬಯಸಿದರೆ ನೀವು ಸಮಾಲೋಚಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.