Nuglaanta xididka ee saameynta sudo Linux Mint iyo OS Hoose

In utility sudo, loo isticmaalo in lagu abaabulo fulinta amarada iyadoo ka wakiil ah isticmaalayaasha kale, la aqoonsaday nuglaanta (CVE-2019-18634), kaas oo kuu oggolaanaya inaad mudnaantaada u kordhiso isticmaalaha xididka. Arrintu waxay jirtay tan iyo sudo 1.7.1 oo keliya marka la isticmaalayo ikhtiyaarka "pwfeedback" ee faylka /etc/sudoers, kaas oo si caadi ah loo naafeeyay laakiin lagu awoodsiiyay qaybinta qaar, sida Linux Mint iyo Elementary OS. Arrinta waxaa lagu xalliyay sii deynta sudo 1.8.31, oo la daabacay dhowr saacadood ka hor. Nuglaanta ayaa weli aan la hagaajinin marka la qaybinayo.

Ikhtiyaarka "pwfeedback" wuxuu suurtogal ka dhigayaa in la soo bandhigo calaamadda "*" ka dib marka xaraf kasta la geliyo marka la gelinayo erayga sirta ah. khaladaadka Hirgelinta shaqada getln() ee lagu qeexay faylka tgetpass.c, xarig sir ah oo aad u weyn oo laga dhex mariyo qulqulka gelinta caadiga ah (stdin), xaalado gaar ah, ma geli karo kaydka loo qoondeeyay oo wuxuu ku beddeli karaa xog kale oo ku taal kaydka. Buufintu waxay dhacdaa marka la fulinayo koodhka sudo oo leh xuquuqda xididka.

Nuxurka dhibaatadu waa marka la isticmaalayo xarafka gaarka ah ^U (xariijinta xariiqda) inta lagu jiro habka gelinta iyo haddii hawlgalka qorista uu guuldareysto, koodka mas'uulka ka ah nadiifinta jilayaasha wax soo saarka "*" wuxuu dib u dejiyaa xogta cabbirka kaydka ee la heli karo, laakiin ma soo celiyo tilmaameha booska hadda ku jira kaydka qiimahiisa asalka ah. Arrin kale oo gacan ka geysata ka faa'iidaysiga waa la'aanta joojinta tooska ah ee qaabka "pwfeedback" marka xogta laga helo terminalka, laakiin iyada oo loo marayo durdurka gelinta (ciladdani waxay u oggolaanaysaa abuurista xaalado loogu talagalay dhacdada qaladka qorista, tusaale ahaan, nidaamyada leh hal-dhinac tuubooyin aan la magacaabin Khaladku wuxuu dhacaa marka la isku dayayo in wax laga qoro dhammaadka kanaalka akhriska).

Maadaama weeraryahanku uu si buuxda u xakameynayo qorista xogta ku jirta kaydka, way fududahay in la abuuro faa'iido si loo kordhiyo mudnaanta xididka. Arrintan waxaa ka faa'iideysan kara isticmaale kasta, iyada oo aan loo eegin ogolaanshaha sudo ama dejimaha gaarka ah ee isticmaalaha ee sudoers. Si looga hortago arrintan, hubi in dejinta "pwfeedback" aysan ku jirin /etc/sudoers, haddii loo baahdona, curyaamiya ("Defaults !pwfeedback"). Si aad u tijaabiso arrinta, socodsii koodka soo socda:

$ perl -e 'print(("A" x 100. "\x{00}") x 50)' | sudo -S id
Furaha sirta ah: Khaladka kala qaybinta

Source: opennet.ru

U soo iibso martigelin lagu kalsoonaan karo oo loogu talagalay bogagga leh ilaalinta DDoS, VPS VDS servers 🔥 Iibso martigelin degel oo lagu kalsoonaan karo oo leh ilaalinta DDoS, VPS VDS servers | ProHoster