ተጋላጭነት (CVE-2023-22809) በሱዶ ፓኬጅ ውስጥ ተለይቷል ፣ በሌሎች ተጠቃሚዎች ምትክ የትእዛዞችን አፈፃፀም ለማደራጀት የሚያገለግል ፣ ይህም የአካባቢ ተጠቃሚ ማንኛውንም ፋይል በስርዓቱ ላይ እንዲያርትዕ ያስችለዋል ፣ ይህም በተራው ፣ እነሱን ይፈቅዳል። /etc/shadow ወይም system ስክሪፕቶችን በመቀየር የስር መብቶችን ለማግኘት። የተጋላጭነትን መበዝበዝ በሱዶርስ ፋይል ውስጥ ያለ ተጠቃሚ የ sudoedit utility ወይም "sudo" በ"-e" ባንዲራ የማስኬድ መብት እንዲሰጠው ይጠይቃል።
ተጋላጭነቱ የሚከሰተው ፋይልን ለማረም የተጠራውን ፕሮግራም የሚገልጹ የአካባቢ ተለዋዋጮችን በሚተነተንበት ጊዜ የ"-" ቁምፊዎችን በአግባቡ ባለመያዙ ነው። በሱዶ ውስጥ፣ የ"-" ቅደም ተከተል አርታዒውን እና ክርክሮችን ከፋይሎች ዝርዝር ለመለየት ጥቅም ላይ ይውላል። አንድ አጥቂ ከአርታዒው መንገድ በኋላ የ"-ፋይል" ቅደም ተከተል ወደ SUDO_EDITOR፣ VISUAL ወይም EDITOR አካባቢ ተለዋዋጮች ማከል ይችላል፣ ይህም የተጠቃሚውን የፋይል መዳረሻ ደንቦች ሳያጣራ የተገለጸውን ፋይል ከፍ ባለ ልዩ መብቶች ማስተካከል ይጀምራል።
ተጋላጭነቱ ከቅርንጫፉ 1.8.0 ጀምሮ ይታያል እና በማስተካከል ሱዶ 1.9.12p2 ውስጥ ተስተካክሏል። የጥቅል ማሻሻያዎችን በስርጭት ውስጥ መታተም በገጾቹ ላይ መከታተል ይቻላል፡ Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch, FreeBSD, NetBSD. እንደ ደኅንነት ጥበቃ፣ የ SUDO_EDITOR፣ ቪዥዋል እና ኤዲቶር አካባቢ ተለዋዋጮችን በሱዶers ውስጥ በመጥቀስ ማሰናከል ይችላሉ፡ ነባሪ! sudoedit env_delete+="SUDO_EDITOR ቪዥዋል አርታኢ"
ምንጭ: opennet.ru