ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Linux Mint සහ Elementary OS වලට බලපාන sudo root අවදානම

Linux Mint සහ Elementary OS වලට බලපාන sudo root අවදානම

උපයෝගීතාව තුළ කිසිදිනක භාවිතා, වෙනත් පරිශීලකයන් වෙනුවෙන් විධාන ක්‍රියාත්මක කිරීම සංවිධානය කිරීමට භාවිතා කරයි, හඳුනාගෙන ඇත අවදානම (CVE-2019-18634), එමඟින් පද්ධතිය තුළ ඔබේ වරප්‍රසාද root පරිශීලකයාට වැඩි කිරීමට ඉඩ සලසයි. පෙරනිමියෙන් අක්‍රිය කර ඇති නමුත් Linux Mint සහ Elementary OS වැනි සමහර බෙදාහැරීම් මත සක්‍රීය කර ඇති /etc/sudoers ගොනුවේ "pwfeedback" විකල්පය භාවිතා කරන විට sudo 1.7.1 නිකුත් කිරීමෙන් පසුව පමණක් ගැටළුව දිස්වේ. නිකුත් කිරීමේදී ගැටළුව විසඳා ඇත sudo 1.8.31, පැය කිහිපයකට පෙර ප්‍රකාශයට පත් කරන ලදී. බෙදාහැරීමේ කට්ටලවල අවදානම නොසැලී පවතී.

“pwfeedback” විකල්පය මඟින් මුරපදයක් ඇතුළත් කිරීමේදී ඇතුළත් කළ එක් එක් අක්ෂරයට පසුව “*” අක්ෂරය සංදර්ශනය කිරීමට හැකියාව ලැබේ. නිසා වැරදි tgetpass.c ගොනුවෙහි අර්ථ දක්වා ඇති getln() ශ්‍රිතය ක්‍රියාත්මක කිරීමේදී, යම් යම් කොන්දේසි යටතේ සම්මත ආදාන ප්‍රවාහය (stdin) හරහා සම්මත කරන ලද ඉතා විශාල මුරපද තන්තුවක් වෙන් කර ඇති බෆරයට නොගැලපෙන අතර තොගයේ ඇති අනෙකුත් දත්ත නැවත ලියන්න. sudo කේතය root ලෙස ධාවනය කරන විට පිටාර ගැලීම සිදුවේ.

ගැටලුවේ සාරය නම්, ආදානය අතරතුර විශේෂ අක්ෂර ^U (රේඛාව නිෂ්කාශනය) භාවිතා කරන විට සහ ලිවීමේ ක්‍රියාවලිය අසාර්ථක වුවහොත්, ප්‍රතිදානය “*” අක්ෂර ඉවත් කිරීමට වගකිව යුතු කේතය පවතින බෆර ප්‍රමාණයේ දත්ත නැවත සකසයි, නමුත් එසේ නොවේ. බෆරයේ ආරම්භක අගය වත්මන් ස්ථානයට දර්ශකය ආපසු ලබා දෙන්න. සූරාකෑමට දායක වන තවත් සාධකයක් වන්නේ දත්ත ටර්මිනලයෙන් නොව ආදාන ප්‍රවාහය හරහා පැමිණෙන විට “pwfeedback” මාදිලිය ස්වයංක්‍රීයව අක්‍රිය නොකිරීමයි (මෙම දෝෂය මඟින් පටිගත කිරීමේ දෝෂයක් සිදුවීමට කොන්දේසි නිර්මානය කිරීමට ඉඩ සලසයි, උදාහරණයක් ලෙස, ඒක දිශානුගත නම් නොකළ නාලිකා කියවීමේ නාලිකාවක අවසානයට ලිවීමට උත්සාහ කිරීමේදී දෝෂයක් ඇතිවේ).

ප්‍රහාරකයෙකුට තොගයේ දත්ත උඩින් ලිවීම පිළිබඳ සම්පූර්ණ පාලනයක් ඇති බැවින්, ඔහුට root කිරීමට ඔහුගේ වරප්‍රසාද උත්සන්න කිරීමට ඉඩ සලසන සූරාකෑමක් නිර්මාණය කිරීම අපහසු නොවේ. sudoers හි sudo අවසරයන් හෝ පරිශීලක-විශේෂිත සැකසුම් නොසලකා, ඕනෑම පරිශීලකයෙකුට ගැටලුව ප්‍රයෝජනයට ගත හැක. ගැටළුව අවහිර කිරීම සඳහා, ඔබ /etc/sudoers හි "pwfeedback" සැකසීමක් නොමැති බවට වග බලා ගත යුතු අතර, අවශ්ය නම්, එය අක්රිය කරන්න ("පෙරනිමි !pwfeedback"). ගැටලුවක් තිබේදැයි පරීක්ෂා කිරීමට, ඔබට කේතය ධාවනය කළ හැක:

$ perl -e 'මුද්‍රණය("A" x 100 . "\x{00}") x 50)' | sudo -S id
මුරපදය: ඛණ්ඩනය කිරීමේ දෝෂය

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න