“苹果研究人员发现Linux Sudo命令中存在巨大缺陷”
发布时间:2021-06-11 06:42:01
阅读次数:
苹果信息安全公司的joe vennix在linux sudo实用程序中发现了重要的安全漏洞( cve-2019-14287 )。 此漏洞允许其他客户获得linux计算机上的非法管理) root )权限。
使用sudo命令,特定客户在通过根帐户的密码进行验证后,可以获得对其帐户的管理权限。 在linux世界中,超级用户类似于默认的windows管理员帐户。
研究人员表示,为了避免root以外的客户设置的限制,通常可以使用root客户可以执行任意命令的all关键字。 由于该漏洞,etc / sudoers文件中配置的非根客户或程序也可以执行任意根命令来接管系统。
要使用此错误,恶意用户运行sudo帐户时必须指定客户id -1或4294967295。 系统似乎允许这样做,因为-1和4294967295将客户id转换为实际客户名称的功能为0。 这是根客户的客户id。
这个漏洞会影响今天发布的1.8.28之前的所有sudo版本。 这个更新也分发给了各个发行版。 因此,如果运行的是linux,则必须检查系统是否有更新,直到更新到列出的版本或更高版本为止。
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。