Bylo známo o objevení zranitelnosti v příkazu Sudo (super user do) pro Linux. Využití této chyby zabezpečení umožňuje nepřivilegovaným uživatelům nebo programům spouštět příkazy s oprávněními root. Je třeba poznamenat, že tato chyba zabezpečení ovlivňuje systémy s nestandardním nastavením a neovlivňuje většinu serverů se systémem Linux.
K této chybě zabezpečení dochází, když se konfigurační nastavení Sudo používá k umožnění provádění příkazů jménem jiných uživatelů. Kromě toho lze Sudo konfigurovat speciálním způsobem, díky kterému je možné spouštět příkazy jménem jiných uživatelů, s výjimkou superuživatele. Chcete-li to provést, musíte provést příslušné úpravy v konfiguračním souboru.
Kořen problému spočívá v tom, jak Sudo zpracovává ID uživatelů. Pokud na příkazovém řádku zadáte ID uživatele -1 nebo jeho ekvivalent 4294967295, lze příkaz, který spustíte, spustit jako uživatel root. Protože zadaná ID uživatelů nejsou uvedena v databázi hesel, příkaz nevyžaduje zadání hesla.
Aby se snížila pravděpodobnost problémů souvisejících s touto chybou zabezpečení, doporučujeme uživatelům co nejdříve aktualizovat Sudo na verzi 1.8.28 nebo novější. Zpráva říká, že v nové verzi Sudo se již jako ID uživatele nepoužívá volba -1. To znamená, že útočníci nebudou moci tuto chybu zabezpečení zneužít.
Zdroj: 3dnews.ru