On teatatud haavatavusest Sudo (super user do) käsus Linuxis. Selle haavatavuse ärakasutamine võimaldab madala privileegiga kasutajatel või programmidel täita käske superkasutaja õigustega. Täheldatakse, et haavatavus mõjutab süsteeme, millel on ebatavalised seadistused, ja ei puuduta enamikku Linuxi operatsioonisüsteemi töötavaid servereid.

Haavatavus tekib juhtudel, kui Sudo konfiguratsiooniseaded võimaldavad täita käske teiste kasutajate nimel. Lisaks võib Sudo olla konfigureeritud spetsiifiliselt, mis võimaldab käskude käivitamist teiste kasutajate nimel, välja arvatud superkasutaja. Selleks tuleb teha vastavad muudatused konfiguratsioonifailis.
Probleemi olemus seisneb selles, kuidas Sudo käsitleb kasutajatunnuseid. Kui sisestate käsureale kasutajatunnuse -1 või selle ekvivalent 4294967295, võib käivitatav käskuda täita superkasutaja õigustes. Kuna nimetatud kasutajatunnuseid ei ole paroolide andmebaasis, ei ole käsu täitmiseks parooli sisestamine vajalik.
Probleemide tekkimise tõenäosuse vähendamiseks seoses selle haavatavusega soovitatakse kasutajatel kiiresti uuendada Sudo versioonini 1.8.28 või uuemani. Teates öeldakse, et uues Sudo versioonis ei kasutata tunnust -1 enam kasutajatunnusena. See tähendab, et kurjategijad ei saa seda haavatavust ära kasutada.
Allikas: 3dnews.ru
