ლოკალური ფესვის დაუცველობა pam-python-ში

პროექტით გათვალისწინებული პემ-პითონი PAM მოდული, რომელიც საშუალებას გაძლევთ დააკავშიროთ ავტორიზაციის მოდულები Python-ში, იდენტიფიცირებული დაუცველობა (CVE-2019-16729), გაძლევთ შესაძლებლობას გაზარდოთ თქვენი პრივილეგიები სისტემაში. pam-python-ის დაუცველი ვერსიის გამოყენებისას (არ არის დაინსტალირებული ნაგულისხმევად), ადგილობრივ მომხმარებელს შეუძლია მიიღოს root წვდომა მანიპულირება Python-ის მიერ ნაგულისხმევად დამუშავებული გარემოს ცვლადებით (მაგალითად, შეგიძლიათ გამოიყენოთ ბაიტეკოდის ფაილის შენახვა სისტემის ფაილების გადასაწერად).

დაუცველობა წარმოდგენილია უახლეს სტაბილურ გამოშვებაში 1.0.6, რომელიც შემოთავაზებულია 2016 წლის აგვისტოდან. პრობლემა გამოვლინდა გუნდის დეველოპერების მიერ ჩატარებული pam-python PAM მოდულის აუდიტის დროს. openSUSE უსაფრთხოების გუნდი, და უკვე დაფიქსირდა განახლებაში 1.0.7. შეგიძლიათ თვალი ადევნოთ pam-python პაკეტების განახლების სტატუსს შემდეგ გვერდებზე: Debian, Ubuntu, SUSE/openSUSE. Fedora და RHEL მოდულში არ არის მიწოდებული.

წყარო: opennet.ru