Linux的sudo指令遭爆含有可取得最高權限的安全漏洞 - 3C
By Megan
at 2019-10-17T23:13
at 2019-10-17T23:13
Table of Contents
Linux的sudo指令遭爆含有可取得最高權限的安全漏洞
文/陳曉莉 | 2019-10-15發表
Linux指令sudo的官網於本周提出警告,指出sudo指令含有一編號為CVE-2019-14287的安
全漏洞,將允許無特權的使用者取得最高權限(Root),以執行任何命令。Sudo團隊已釋
出sudo 1.8.28以修補該漏洞,先前的版本都受到波及,幸好該漏洞只會在非標準配置的
狀況下被觸發,並未影響多數的Linux伺服器。
sudo為一用於類Unix平台的指令,允許用戶以安全權限或其它使用者的權限執行命令或程
式。根據Sudo的說明,當在Runas規格中使用All關鍵字時,就能讓sudo用戶以任何使用者
的身分執行命令,假設所指定的使用者為ID -1或4294967295,即可能以最高權限執行命
令。
然而,CVE-2019-14287漏洞會在sudo用戶擁有足夠的權限時,允許他以最高權限執行命令
,就算在Runas規格中明述在採用ALL關鍵字時,禁止最高權限的存取。換句話說,該漏洞
繞過了Runas的使用者限制。
要開採該漏洞的駭客,必須先擁有能夠以任何使用者身分執行命令的sudo權限,多少限制
了該漏洞的攻擊表面。
此一漏洞是由蘋果的資安工程師Joe Vennix所揭露,Sudo團隊也已釋出sudo 1.8.28修補
,用戶應儘快升級。
https://www.ithome.com.tw/news/133605
--
--
文/陳曉莉 | 2019-10-15發表
Linux指令sudo的官網於本周提出警告,指出sudo指令含有一編號為CVE-2019-14287的安
全漏洞,將允許無特權的使用者取得最高權限(Root),以執行任何命令。Sudo團隊已釋
出sudo 1.8.28以修補該漏洞,先前的版本都受到波及,幸好該漏洞只會在非標準配置的
狀況下被觸發,並未影響多數的Linux伺服器。
sudo為一用於類Unix平台的指令,允許用戶以安全權限或其它使用者的權限執行命令或程
式。根據Sudo的說明,當在Runas規格中使用All關鍵字時,就能讓sudo用戶以任何使用者
的身分執行命令,假設所指定的使用者為ID -1或4294967295,即可能以最高權限執行命
令。
然而,CVE-2019-14287漏洞會在sudo用戶擁有足夠的權限時,允許他以最高權限執行命令
,就算在Runas規格中明述在採用ALL關鍵字時,禁止最高權限的存取。換句話說,該漏洞
繞過了Runas的使用者限制。
要開採該漏洞的駭客,必須先擁有能夠以任何使用者身分執行命令的sudo權限,多少限制
了該漏洞的攻擊表面。
此一漏洞是由蘋果的資安工程師Joe Vennix所揭露,Sudo團隊也已釋出sudo 1.8.28修補
,用戶應儘快升級。
https://www.ithome.com.tw/news/133605
--
推 WARgame723 : 故意不換腳位讓你單換cpu出問題最後連板一起換,老08/23 08:13
→ WARgame723 : 實說我覺得intel不換腳位良心多了08/23 08:13
推 SungHyun : 1樓中肯!08/23 08:18
噓 WARgame723 : 打錯,我是要說i皇換腳位08/23 08:39
→ WARgame723 : 而且5nm就能打贏14nm? 我看未必08/23 08:40
--
Tags:
3C
All Comments
By Agnes
at 2019-10-22T15:49
at 2019-10-22T15:49
By Poppy
at 2019-10-22T17:24
at 2019-10-22T17:24
By Susan
at 2019-10-24T15:23
at 2019-10-24T15:23
By Aaliyah
at 2019-10-28T10:26
at 2019-10-28T10:26
By John
at 2019-11-01T08:23
at 2019-11-01T08:23
By Frederica
at 2019-11-02T01:23
at 2019-11-02T01:23
By Cara
at 2019-11-03T20:36
at 2019-11-03T20:36
By George
at 2019-11-06T17:05
at 2019-11-06T17:05
By Anthony
at 2019-11-10T15:26
at 2019-11-10T15:26
By Jessica
at 2019-11-12T08:19
at 2019-11-12T08:19
By Isla
at 2019-11-16T16:19
at 2019-11-16T16:19
By Isabella
at 2019-11-16T19:42
at 2019-11-16T19:42
By Bethany
at 2019-11-19T00:01
at 2019-11-19T00:01
By Valerie
at 2019-11-22T05:24
at 2019-11-22T05:24
By Ivy
at 2019-11-26T10:43
at 2019-11-26T10:43
By Zenobia
at 2019-11-29T19:55
at 2019-11-29T19:55
By Anthony
at 2019-12-01T15:38
at 2019-12-01T15:38
By Harry
at 2019-12-04T03:03
at 2019-12-04T03:03
By Todd Johnson
at 2019-12-08T20:49
at 2019-12-08T20:49
By Yuri
at 2019-12-13T19:05
at 2019-12-13T19:05
By Enid
at 2019-12-16T02:08
at 2019-12-16T02:08
By Faithe
at 2019-12-20T19:15
at 2019-12-20T19:15
By Susan
at 2019-12-20T20:27
at 2019-12-20T20:27
By Hazel
at 2019-12-21T07:06
at 2019-12-21T07:06
By Ethan
at 2019-12-26T05:02
at 2019-12-26T05:02
By Oliver
at 2019-12-26T11:19
at 2019-12-26T11:19
By Daniel
at 2019-12-31T10:18
at 2019-12-31T10:18
By Hedwig
at 2019-12-31T18:05
at 2019-12-31T18:05
By Caroline
at 2020-01-02T14:37
at 2020-01-02T14:37
By Kristin
at 2020-01-06T23:34
at 2020-01-06T23:34
By Skylar Davis
at 2020-01-11T01:54
at 2020-01-11T01:54
By Oscar
at 2020-01-14T01:19
at 2020-01-14T01:19
By Lucy
at 2020-01-16T21:29
at 2020-01-16T21:29
By Emma
at 2020-01-17T21:09
at 2020-01-17T21:09
By Zanna
at 2020-01-22T05:39
at 2020-01-22T05:39
By Jake
at 2020-01-23T09:57
at 2020-01-23T09:57
By Poppy
at 2020-01-27T12:21
at 2020-01-27T12:21
Related Posts
60k 深度學習機
By Oscar
at 2019-10-17T21:49
at 2019-10-17T21:49
海盜 k70 SE 4680
By Odelette
at 2019-10-17T20:20
at 2019-10-17T20:20
白色風Fractal Design 大空間 MESHIFY S2
By Donna
at 2019-10-17T19:57
at 2019-10-17T19:57
台積電再砸40億美元 AMD Ryzen 9有望現貨
By Oliver
at 2019-10-17T19:54
at 2019-10-17T19:54
InWin迎廣Alice機殼售價出爐 1390元 預購有薄禮
By Carolina Franco
at 2019-10-17T19:04
at 2019-10-17T19:04