Eden najbolj znanih in uporabljanih Linuxovih ukazov – Sudo – ima precej zoprno varnostno »luknjo«, zato ga takoj nadgradite.
Kdor malenkost bolje pozna Linux in v njem zna narediti kaj več kot klikati po ikonah, se je srečal z ukazom Sudo. Ime je nastalo kot okrajšava za »Superuser do«, njegovo bistvo pa je, da uporabniku začasno dvigne raven pravic in s tem omogoči izvajanje nekaterih skrbniških nalog, ki jih kot navaden uporabnik ne more, poleg tega pa uporabniku omogoča zagon ukazov kot drugi uporabnik. Ker gre za dokaj »močan« ukaz, ki lahko resno posega v sistem, je luknja v njem precej zoprna zadeva.
K sreči jih je bilo do sedaj izredno malo, eno od njih pa je prejšnji teden našel Joe Vennix iz Apple Information Security. Bistvo hrošča je v tem, da če je v specifikaciji Runas določeno, da lahko uporabnik preko ključne besede ALL zaganja Sudo kot katerikoli uporabnik, lahko v primeru, da določi oznako (ID) uporabnika -1 ali 4294967295, zaganja ukaze kot skrbnik tudi če mu raven pravic ukaza Sudo tega ne dovoljuje.
Hrošč je v različici Sudo 1.8.28 že zakrpan, več informacij o njem pa lahko najdete na tem naslovu.
Nedavni komentarji