Linux的sudo指令遭爆含有可取得最高權限的安全漏洞
文/陳曉莉 | 2019-10-15發表
Linux指令sudo的官網於本周提出警告,指出sudo指令含有一編號為CVE-2019-14287的安
全漏洞,將允許無特權的使用者取得最高權限(Root),以執行任何命令。Sudo團隊已釋
出sudo 1.8.28以修補該漏洞,先前的版本都受到波及,幸好該漏洞只會在非標準配置的
狀況下被觸發,並未影響多數的Linux伺服器。
sudo為一用於類Unix平台的指令,允許用戶以安全權限或其它使用者的權限執行命令或程
式。根據Sudo的說明,當在Runas規格中使用All關鍵字時,就能讓sudo用戶以任何使用者
的身分執行命令,假設所指定的使用者為ID -1或4294967295,即可能以最高權限執行命
令。
然而,CVE-2019-14287漏洞會在sudo用戶擁有足夠的權限時,允許他以最高權限執行命令
,就算在Runas規格中明述在採用ALL關鍵字時,禁止最高權限的存取。換句話說,該漏洞
繞過了Runas的使用者限制。
要開採該漏洞的駭客,必須先擁有能夠以任何使用者身分執行命令的sudo權限,多少限制
了該漏洞的攻擊表面。
此一漏洞是由蘋果的資安工程師Joe Vennix所揭露,Sudo團隊也已釋出sudo 1.8.28修補
,用戶應儘快升級。
https://www.ithome.com.tw/news/133605
--
--
文/陳曉莉 | 2019-10-15發表
Linux指令sudo的官網於本周提出警告,指出sudo指令含有一編號為CVE-2019-14287的安
全漏洞,將允許無特權的使用者取得最高權限(Root),以執行任何命令。Sudo團隊已釋
出sudo 1.8.28以修補該漏洞,先前的版本都受到波及,幸好該漏洞只會在非標準配置的
狀況下被觸發,並未影響多數的Linux伺服器。
sudo為一用於類Unix平台的指令,允許用戶以安全權限或其它使用者的權限執行命令或程
式。根據Sudo的說明,當在Runas規格中使用All關鍵字時,就能讓sudo用戶以任何使用者
的身分執行命令,假設所指定的使用者為ID -1或4294967295,即可能以最高權限執行命
令。
然而,CVE-2019-14287漏洞會在sudo用戶擁有足夠的權限時,允許他以最高權限執行命令
,就算在Runas規格中明述在採用ALL關鍵字時,禁止最高權限的存取。換句話說,該漏洞
繞過了Runas的使用者限制。
要開採該漏洞的駭客,必須先擁有能夠以任何使用者身分執行命令的sudo權限,多少限制
了該漏洞的攻擊表面。
此一漏洞是由蘋果的資安工程師Joe Vennix所揭露,Sudo團隊也已釋出sudo 1.8.28修補
,用戶應儘快升級。
https://www.ithome.com.tw/news/133605
--
推 WARgame723 : 故意不換腳位讓你單換cpu出問題最後連板一起換,老08/23 08:13
→ WARgame723 : 實說我覺得intel不換腳位良心多了08/23 08:13
推 SungHyun : 1樓中肯!08/23 08:18
噓 WARgame723 : 打錯,我是要說i皇換腳位08/23 08:39
→ WARgame723 : 而且5nm就能打贏14nm? 我看未必08/23 08:40
--
All Comments