Każdy, kto chociaż raz korzystał z wiersza poleceń w Linuksie lub z platformy opartej na Uniksie, takiej jak macOS, prawdopodobnie znasz polecenie sudo. Pozwala ono na uruchamianie zadań z innymi, zazwyczaj podwyższonymi, uprawnieniami niż te, które posiadamy. Jest to bardzo istotna i pomocna opcja. Okazało się jednak, że przy okazji niebezpieczna. Na szczęście programiści już usunęli błąd w tym poleceniu. Pozwalał on skutecznie ubiegać się o dostęp na poziomie root, nawet jeśli konfiguracja wyraźnie go zabraniała. Tak długo, jak intruz mógł wydać polecenie sudo w pierwszej kolejności, mógł wykonać dowolną akcję na danej maszynie.

Poważna luka w poleceniu sudo

Poważna luka w poleceniu sudo

 

Problem dotyczył traktowania identyfikatorów użytkowników przez polecenie sudo. Jeśli wpisano je z identyfikatorem użytkownika -1 lub jego niepodpisanym odpowiednikiem 4294967295, było się traktowanym tak, jakby się miało dostęp do katalogu głównego. I to nawet wtedy, gdy aktualny identyfikator użytkownika jest zapisany w dzienniku. Co gorsza, wyżej wspomniane identyfikatory nie istnieją w bazie danych z hasłami, więc polecenie nie wymaga jego podania.

Zobacz też: Xiaomi nawiązało współpracę z AMD. Jej owoc już niedługo trafi do sprzedaży

Na szczęście problem ten został już rozwiązany. Użytkownicy Linuksa mogą zaktualizować do nowszego pakietu sudo. To powinno ostatecznie naprawić błąd. Warto także dodać, że zagrożenie to, mimo że poważne jest mało realne. Wynika to z tego, że żeby doprowadzić do ataku, należy mieć kontrolę nad wierszem poleceń w systemie. Dopiero później w ogóle można rozważać wykorzystanie tej podatności. Oznacza to, że bez fizycznego dostępu, lub wcześniejszego włamania się do komputera przeprowadzenie takiego ataku nie jest w ogóle możliwe. Jeśli więc z jakiegoś powodu nie możecie wgrać aktualizacji to i tak nie macie się czego obawiać.

Źródło: Engadget

Google News
Obserwuj ANDROID.COM.PL w Google News i bądź zawsze na bieżąco!
Obserwuj

Paweł Maretycz

Sceptyczny fan nowych technologii. Uwielbia małe urządzenia, nawet jego komputer to mini ITX.