በመገልገያው ውስጥ , ሌሎች ተጠቃሚዎችን ወክሎ ትዕዛዞችን አፈፃፀም ለማደራጀት ያገለግላል, ተጋላጭነት (), ይህም በሲስተሙ ውስጥ ያለዎትን መብቶች ለስር ተጠቃሚው እንዲጨምሩ ያስችልዎታል. ችግሩ የሚታየው ሱዶ 1.7.1 ከተለቀቀ በኋላ በ/etc/sudoers ፋይል ውስጥ የ"pwfeedback" አማራጭን ሲጠቀሙ ብቻ ነው፣ ይህም በነባሪነት ተሰናክሏል ነገር ግን በአንዳንድ ስርጭቶች እንደ ሊኑክስ ሚንት እና አንደኛ ደረጃ ስርዓተ ክወና። ችግር በተለቀቀበት ጊዜ ተስተካክሏል። ፣ ከጥቂት ሰዓታት በፊት የታተመ። ተጋላጭነቱ በስርጭት ኪት ውስጥ ሳይስተካከል ይቀራል።
የ"pwfeedback" አማራጭ የይለፍ ቃል በሚያስገቡበት ጊዜ እያንዳንዱ ከገባ ቁምፊ በኋላ የ"*" ቁምፊን ለማሳየት ያስችላል። ምክንያቱም በ tgetpass.c ፋይል ውስጥ በተገለጸው የጌትል () ተግባር ትግበራ፣ በጣም ትልቅ የይለፍ ቃል ሕብረቁምፊ በመደበኛው የግቤት ዥረት (stdin) በተወሰኑ ሁኔታዎች ውስጥ ያለፈው ከተመደበው ቋት ውስጥ የማይገባ እና ሌላ ውሂብ በመደርደር ላይ ሊተካ ይችላል። የትርፍ ፍሰቱ የሚከሰተው ሱዶ ኮድን እንደ ስር ሲያሄድ ነው።
የችግሩ ዋና ነገር በግቤት ጊዜ ልዩ ቁምፊን ሲጠቀሙ ^U (መስመር ማጽዳት) እና የመፃፍ ክዋኔው ካልተሳካ ውጤቱን "*" ቁምፊዎችን የማጽዳት ሃላፊነት ያለው ኮድ ባለው የማከማቻ መጠን ላይ ያለውን መረጃ እንደገና ያስጀምረዋል, ነገር ግን አያደርግም. ጠቋሚውን በመጠባበቂያው ውስጥ ወደ መጀመሪያው እሴት የአሁኑ ቦታ ይመልሱ። ሌላው ለብዝበዛው አስተዋጽኦ ያደረገው መረጃ ከተርሚናል ሳይሆን በመግቢያ ዥረቱ በኩል ሲደርስ የ"pwfeedback" ሁነታን በራስ ሰር ማሰናከል አለመቻሉ ነው (ይህ እንከን የቀረጻ ስህተት እንዲፈጠር ሁኔታዎችን ይፈጥራል ለምሳሌ በስርዓቶች ላይ ባለአንድ አቅጣጫ የተነበበ ቻናል መጨረሻ ላይ ለመጻፍ ሲሞክር ስህተት ይከሰታል).
አንድ አጥቂ በተደራራቢው ላይ ያለውን መረጃ በመተካት ላይ ሙሉ ቁጥጥር ስላለው ፣የስር መሰረቱን ከፍ ለማድረግ የሚያስችለውን ብዝበዛ መፍጠር ከባድ አይደለም። በ sudoers ውስጥ የሱዶ ፍቃዶች ወይም በተጠቃሚ-ተኮር ቅንጅቶች ምንም ቢሆኑም ችግሩ በማንኛውም ተጠቃሚ ሊበዘበዝ ይችላል። ችግሩን ለመግታት በ /etc/sudoers ውስጥ ምንም የ"pwfeedback" መቼት እንደሌለ እና አስፈላጊም ከሆነ ያሰናክሉት ("Defaults! pwfeedback")። ችግር ካለ ለመፈተሽ ኮዱን ማስኬድ ይችላሉ፡-
$ perl -e 'ህትመት(("A" x 100 . "\x{00}") x 50)' | sudo -S መታወቂያ
የይለፍ ቃል፡ የመከፋፈል ስህተት
ምንጭ: opennet.ru