פגיעות חמורה בסודו

עם אפשרות pwfeedback מופעלת בהגדרות sudo, תוקף יכול לגרום להצפת מאגר ולהסלים את ההרשאות שלו במערכת.

אפשרות זו מאפשרת תצוגה ויזואלית של תווי סיסמה שהוזנו כסמל *. ברוב ההפצות הוא מושבת כברירת מחדל. עם זאת, ב לינוקס מנטה и מערכת הפעלה ראשונית זה כלול ב-/etc/sudoers.

לנצל פגיעות עבור תוקף לא בהכרח להיות ברשימת המשתמשים המורשים להפעיל sudo.

הפגיעות קיימת ב sudo גרסאות מ 1.7.1 על 1.8.30. פגיעות גרסה 1.8.26-1.8.30 היה מדובר בתחילה, אך כרגע ידוע בוודאות שגם הם פגיעים.

CVE-2019-18634 - מכיל מידע מיושן.

הפגיעות תוקנה בגרסה 1.8.31. אם לא ניתן לעדכן, תוכל להשבית אפשרות זו ב-/etc/sudoers:

ברירת מחדל !pwfeedback

מקור: linux.org.ru