Məlum olub ki, Linux üçün Sudo (super user do) komandasında boşluq aşkar edilib. Bu zəifliyin istismarı imtiyazsız istifadəçilərə və ya proqramlara super istifadəçi hüquqları ilə əmrləri yerinə yetirməyə imkan verir. Qeyd olunur ki, boşluq qeyri-standart parametrləri olan sistemlərə təsir edir və Linux ilə işləyən əksər serverlərə təsir etmir.
Boşluq Sudo konfiqurasiya parametrləri əmrlərin digər istifadəçilər kimi icrasına icazə vermək üçün istifadə edildikdə baş verir. Bundan əlavə, Sudo xüsusi bir şəkildə konfiqurasiya edilə bilər, bunun sayəsində super istifadəçi istisna olmaqla, digər istifadəçilərin adından əmrləri yerinə yetirmək mümkündür. Bunun üçün konfiqurasiya faylında müvafiq düzəlişlər etməlisiniz.
Problemin mahiyyəti Sudo-nun istifadəçi identifikatorlarını idarə etmə tərzindədir. Komanda xəttinə istifadəçi ID -1 və ya onun ekvivalenti 4294967295 daxil etsəniz, işlətdiyiniz əmr super istifadəçi hüquqları ilə icra edilə bilər. Göstərilən istifadəçi identifikatorları parol verilənlər bazasında olmadığı üçün əmrin işləməsi üçün parol tələb olunmayacaq.
Bu zəifliklə bağlı problemlərin yaranma ehtimalını azaltmaq üçün istifadəçilərə Sudo-nu mümkün qədər tez 1.8.28 və ya daha sonrakı versiyaya yeniləmələri tövsiyə olunur. Mesajda bildirilir ki, Sudo-nun yeni versiyasında -1 parametri artıq istifadəçi ID-si kimi istifadə edilmir. Bu o deməkdir ki, təcavüzkarlar bu boşluqdan istifadə edə bilməyəcəklər.
Mənbə: 3dnews.ru