Sai teatavaks, et Linuxi käsus Sudo (super user do) avastati haavatavus. Selle haavatavuse ärakasutamine võimaldab privilegeerimata kasutajatel või programmidel superkasutaja õigustega käske täita. Märgitakse, et haavatavus mõjutab mittestandardsete sätetega süsteeme ega mõjuta enamikku Linuxit kasutavaid servereid.
Haavatavus ilmneb siis, kui Sudo konfiguratsiooniseadeid kasutatakse selleks, et lubada käskude täitmist teiste kasutajatena. Lisaks saab Sudot eriliselt seadistada, tänu millele on võimalik käivitada käske teiste kasutajate nimel, välja arvatud superkasutaja. Selleks peate konfiguratsioonifailis tegema vastavad kohandused.
Probleemi tuum seisneb selles, kuidas Sudo kasutaja ID-sid käsitleb. Kui sisestate käsureale kasutaja ID -1 või sellega samaväärse 4294967295, saab käivitatava käsu täita superkasutaja õigustega. Kuna määratud kasutajatunnuseid paroolide andmebaasis pole, ei nõuta käsu käivitamiseks parooli.
Selle haavatavusega seotud probleemide tõenäosuse vähendamiseks soovitatakse kasutajatel värskendada Sudo versioonile 1.8.28 või uuemale niipea kui võimalik. Sõnumis on kirjas, et Sudo uues versioonis ei kasutata enam kasutajatunnusena parameetrit -1. See tähendab, et ründajad ei saa seda haavatavust ära kasutada.
Allikas: 3dnews.ru