พบช่องโหว่ในคำสั่ง sudo ให้สิทธิระดับ root ได้แม้ไฟล์ sudoer ระบุห้ามไว้แล้ว

By: nismod
Trainee Writer iPhone Android
on 15 October 2019 - 12:59 Tags:
Topics: 
Unix
Linux
Security
Node Thumbnail

The Hacker News รายงานการพบช่องโหว่ CVE-2019-14287 ที่ค่อนข้างร้ายแรง ในคำสั่ง sudo โดยกระทบกรณีที่ผู้ดูแลระบบให้สิทธิ์ผู้ใช้ในการรันคำสั่งแทนผู้ใช้อื่น แต่จำกัดไม่ให้รันในสิทธิ์ root

ช่องโหว่นี้มีผลเมื่อผู้ใช้ที่มุ่งร้าย ระบุเลข user id ให้กับคำสั่ง sudo เป็น -1 หรือ 4294967295 ระบบจะบั๊กแล้วตีความว่าเป็นคำสั่งจาก user 0 ซึ่งเป็นสิทธิระดับ root แม้ว่าไฟล์ sudoer จะระบุไว้ว่าไม่ให้สิทธิ์ก็ตาม

ช่องโหว่นี้กระทบ sudo เวอร์ชัน 1.8.28 ลงไป ซึ่งก็คาดว่าดิสโทรต่าง ๆ น่าจะปล่อยอัพเดตอุดช่องโหว่ให้เร็ว ๆ นี้ ผู้ใช้ลินุกซ์ควรติดตามและรีบอัพเดตเร็วที่สุด

ที่มา - The Hacker News

No Description

Get latest news from Blognone

Comments

By: Sephanov
iPhone Ubuntu
on 15 October 2019 - 17:05 #1133337
Sephanov's picture

sudo apt-get update&&sudo apt-get upgrade -y

By: wichate
Android
on 15 October 2019 - 17:12 #1133339

sudo apt-get remove sudo

By: mr_tawan
Contributor iPhone Android Windows
on 15 October 2019 - 18:03 #1133344
mr_tawan's picture

sudo pacman -Syu

  • 9tawan.net บล็อกส่วนตัวฮับ
By: Architec
Contributor Windows Phone Android Windows
on 15 October 2019 - 18:21 #1133347

sudo rm -rf /

By: i3i4i5
Contributor iPhone Windows
on 15 October 2019 - 19:09 #1133351
i3i4i5's picture

sudo shred -vfz -n 10 /dev/sda

By: ZodiacJB on 15 October 2019 - 19:47 #1133353

:(){ :|: & };:

By: toooooooon
iPhone Windows Phone Android Blackberry
on 16 October 2019 - 08:53 #1133411 Reply to:1133353

เขื่อน

^ ^''

ไม่น่าซนเล้ย

By: sian
Windows Phone Android Windows
on 15 October 2019 - 20:33 #1133361
sian's picture

sudo dnf upgrade

By: TinLethax on 15 October 2019 - 22:48 #1133378
TinLethax's picture

sudo nix-env -u sudo

By: TinLethax on 15 October 2019 - 22:49 #1133379
TinLethax's picture

sudo nix-env -u sudo