Dhawaan se waxay ku ogaatay nuglaanta Sudo, in wuxuu kuu ogolaanayaa inaad dhaafto siyaasada amniga ku saabsan qaybinta ku saleysan Linux taas oo u oggolaan kara isticmaalaha inuu u ordo amarro sida isticmaalaha xididka, xitaa haddii marinka xididkaas aan si gaar ah loo oggolaan. Ciladan culus waxaa ogaaday Joe Vennix oo ka tirsan Apple Information Security.
Jilicsanaantaas horay ayaa loo hagaajiyay balastarkuna wuxuu ka hortagayaa cawaaqib xumada ka dhalan karta nidaamka Linux. Si kastaba ha noqotee, U nuglaanta Sudo waxay khatar ku haysay kaliya qayb cidhiidhi ah Isticmaalayaasha Linux, sida uu sheegayo Todd Miller, soo saare softiweer iyo injineer sare oo ka tirsan barnaamijka Quest Software iyo dayactirka mashruuca isha furan "Sudo."
«Inta badan goobaha Sudo ma saameyno cayayaanka. Isticmaalayaasha guryaha aan ganacsiga aheyn uma badna inay saameyn ku yeeshaan »
Sida caadiga ah qaybinta ugu badan ee Linux, DHAMMAAN erayga muhiimka ah ee qeexitaanka RunAs ee faylka / iwm / sudoers wuxuu u oggolaanayaa dadka isticmaala maamulka ama kooxaha sudo inay ku shaqeeyaan amar kasta oo nidaamka ah.
Si kastaba ha ahaatee, maxaa yeelay kala-soocidda mudnaanta waa mid ka mid ah astaamaha aasaasiga ee amniga ee Linux, Maamulayaashu waxay u habeyn karaan feylasha sudoers si ay u qeexaan sida saxda ah ee loo oggol yahay inuu sameeyo waxa (socod amar gaar ah).
Jilicsanaanta cusub CVE-2019-14287. Sii isticmaale khaas ah ama barnaamij xaasidnimo ah ku filan kartida waxqabad ama fulin koodh aan macquul ahayn asal ahaan (ama superuser) nidaamka bartilmaameedka, marka "qaabeynta sudoers" aysan u oggolaan marinkan.
Weeraryahan ayaa ka faa'iideysan kara u nuglaantaas isaga oo caddeeya aqoonsiga "-1" ama "429496967295" maxaa yeelay shaqada mas'uul ka ah beddelka Aqoonsiga magaca isticmaalaha wuxuu ula dhaqmaa labadan qiime si hufan sida "0", oo u dhiganta "aqoonsiga superuser".
Ka soo qaad inaad u qaabeysay "X" isticmaale ahaan sudoer on mybox server si ay u fuliyaan amar sida isticmaale kasta oo kale, marka laga reebo xididka: »X mybox = (ALL ,! Root) / usr / bin / command".
Waad ku kalsoonaan kartaa X si ay ula socoto feylasha iyo howlaha isticmaaleyaasha kale, laakiin ma haystaan marin superuser ah.
Tani waa inay u oggolaataa adeegsadaha "X" inuu fuliyo amar sida qof kasta oo aan ahayn xididka. Si kastaba ha noqotee, haddii X ay fuliso "sudo -u # -1 id -u" ama "-u # 429496967295 id -u", waad dhaafi kartaa caqabadda oo waxaad ku ordi kartaa amarka aad dooratay oo ah xididka X.
Sidoo kale, maadaama Aqoonsiga lagu qeexay xulashada -u uusan ka jirin keydka sirta, ma jiri doono modules kal-fadhi oo shaqeyn doona.
U nuglaantaani waxay kaliya saameyneysaa qaabeynta sudo ee leh liistada isticmaaleyaasha "Runes", oo ay ku jiraan marka laga reebo xididka. Xididka waxaa sidoo kale lagu garan karaa qaabab kale: iyadoo magaceeda lagu aqoonsan karo "isticmaale DHAMMAAN = (ALL ,! # 0) / usr / bin / command", ama iyadoo la tixraacayo runas alias.
Sidaa darteed, xaalad gaar ah oo laguu oggolaaday inaad fuliso amarSida isticmaale kasta oo kale marka laga reebo xididka, nuglaanta ayaa wali kuu oggolaaneysa inaad dhaafto siyaasaddan amniga oo aad si buuxda ula wareegto nidaamka asal ahaan.
Jilicsanaanta ayaa saamayneysa dhammaan noocyada Sudo kahor noocii ugu dambeeyay ee 1.8.28 kaas oo dhowaan la sii daayay isla markaana loo soo bandhigi doono casriyeyn ahaan qaybaha kala duwan ee Linux dhawaan.
Maaddaama weerarku ka shaqeynayo kiis adeegsi gaar ah ee feylasha qaabeynta sudoers, waa inuusan saameyn ku yeelan tiro badan oo isticmaaleyaal ah.
Si kastaba ha ahaatee, Dhamaan isticmaaleyaasha Linux, waxaa lagula talinayaa inay cusbooneysiiyaan xirmada sudo ilaa noocii ugu dambeeyay sida ugu dhaqsaha badan.
Tan iyo markii ay horumariyayaashu sii daayeen balastarka Sudo dhawr maalmood ka hor. Si kastaba ha noqotee, maxaa yeelay waa in loo xirxiraa qayb kasta oo Linux ah oo loo qaybiyaa boqolaal bulshooyin Linux ah oo ilaaliya nidaamyada hawlgalka Linux, xirmadan ayaa laga yaabaa inay qaadato maalmo yar ka dib qaybinta qaarkood.
Hadaad rabto inaad waxbadan ka ogaato waad tashan kartaa xiriirka soo socda.