Hitan'izy ireo fa marefo ao Sudo izay mamela ireo mpampiasa tsy nahazo alalana hihetsika ho faka

Vao tsy ela se nahita fahalemena tao Sudo, que mamela anao hialana amin'ny politika fiarovana amin'ny fizarana Linux afaka namela mpampiasa handefa baiko ho mpampiasa faka, na dia tsy avela manokana aza ny fidirana amin'ny faka. Io lesoka io dia hitan'i Joe Vennix avy amin'ny Apple Information Security.

Ity fahasamihafana ity dia efa namboarina ary ny patch dia manakana ny voka-dratsy mety hitranga ao anatin'ny rafitra Linux. na izany aza, Ny fahalemen'i Sudo dia nampidi-doza tamin'ny ampahany kely fotsiny Ireo mpampiasa Linux, hoy i Todd Miller, mpamorona lozisialy ary injeniera zokiny ao amin'ny Quest Software ary mitazona ny tetikasa open source "Sudo."

«Ny ankamaroan'ny toerana misy an'i Sudo dia tsy voakasiky ny bibikely. Ireo mpampiasa trano tsy orinasa tsy dia voakasik'izany »

Amin'ny alàlan'ny default amin'ny ankamaroan'ny fizarana Linux, ny teny lakile REHETRA ao amin'ny famaritana RunAs ao amin'ny fisie / etc / sudoers dia mamela ny mpampiasa admin na ny vondrona sudo hitantana baiko rehetra momba ny rafitra.

Na izany aza, satria ny fisarahana tombontsoa dia iray amin'ireo paradigma fiarovana fototra amin'ny Linux, ny mpandrindra dia afaka manamboatra rakitra sudoers hamaritana mazava hoe iza no mahazo manao inona (mitantana baiko manokana).

Ny marefo vaovao CVE-2019-14287. Omeo mpampiasa manana tombontsoa na programa manimba ampy ny fahaizana manao hetsika na fanatanterahana kaody tsy aritra ho faka (na superuser) amin'ny rafitra kendrena, rehefa tsy avelan'ny "sudoers configur" ity fidirana ity.

Ny mpanafika dia afaka mitrandraka io fahalemena io amin'ny famaritana ny ID "-1" na "429496967295" satria ny fiasa tompon'andraikitra amin'ny fanovana ny ID ho solon'anarana mandinika ireo soatoavina roa ireo toy ny "0", izay mifanitsy amin'ny ID an'ny "super mpampiasa".

Eritrereto hoe nanamboatra mpampiasa "X" ho sudoer ao amin'ny mpizara mybox ianao mba hanatanterahana baiko toy ny mpampiasa hafa, afa-tsy ny root: »X mybox = (ALL ,! Root) / usr / bin / command".

Azonao atao ny matoky an'i X hanara-maso ny fisie sy ny hetsiky ny mpampiasa hafa, saingy tsy manana fidirana superuser izy ireo.

Izany dia tokony hamela ny mpampiasa "X" hanatanteraka baiko toy ny olon-kafa ankoatry ny faka. Na izany aza, raha mampihatra ny "sudo -u # -1 id -u" na "-u # 429496967295 id -u" i X, dia azonao atao ny mandingana ny teritery ary mampandeha ny baikon'ny safidinao ho fakan'ny X.

Ary koa, satria ny ID voatondro amin'ny alàlan'ny safidy -u dia tsy misy ao amin'ny database password, dia tsy misy modules session X ho mandeha.

Io fahalemena io dia tsy misy afa-tsy ny fananganana sudo izay misy ny lisitry ny mpampiasa "Runes", anisan'izany ny fanilihana faka. Ny root dia azo fantarina amin'ny fomba hafa: amin'ny anarany ID miaraka amin'ny "mpampiasa ALL = (ALL ,! # 0) / usr / bin / command", na amin'ny alàlan'ny solonanarana Runas.

Noho izany, amin'ny toe-javatra manokana ahafahana manao baikoTahaka ny mpampiasa hafa afa-tsy ny faka, ny fahalemena dia afaka mamela anao hihoatra ity politika fiarovana ity ary mifehy tanteraka ny rafitra ho faka.

Ny fahalemena dia misy fiantraikany amin'ny kinova Sudo rehetra alohan'ny andiany farany 1.8.28 izay navoaka vao tsy ela akory izay ary hivoaka ho fanavaozana ireo fizarana Linux isan-karazany atsy ho atsy.

Satria miasa amin'ny tranga fampiasana manokana ny rakitra fikirakirana sudoers ny fanafihana, dia tsy tokony hisy fiantraikany amin'ny mpampiasa marobe izany.

Na izany aza, Ho an'ny mpampiasa Linux rehetra, asaina manavao izy ireo ny fonosana sudo amin'ny kinova farany faran'izay haingana.

Hatramin'ny namoahan'ny mpamorona ny patch ho an'i Sudo andro vitsivitsy lasa izay. Na izany aza, satria tsy maintsy fonosina isaky ny fizarana Linux izy ary zaraina amin'ireo vondrom-piarahamonina Linux an-jatony izay mitazona ny rafitra fikirakiran'ny Linux, ity fonosana ity dia mety maharitra andro vitsivitsy ho an'ny fizarana sasany.

Raha te hahafantatra bebe kokoa momba izany ianao afaka manatona ianao ity rohy manaraka ity.


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

Aoka ho voalohany ny fanehoan-kevitra

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka.

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.

bool (marina)