U bë e ditur se një dobësi u zbulua në komandën Sudo (super përdorues do) për Linux. Shfrytëzimi i kësaj dobësie lejon përdoruesit ose programet e paprivilegjuar të ekzekutojnë komanda me të drejtat e superpërdoruesit. Vihet re se dobësia prek sistemet me cilësime jo standarde dhe nuk prek shumicën e serverëve që përdorin Linux.
Dobësia ndodh kur cilësimet e konfigurimit Sudo përdoren për të lejuar ekzekutimin e komandave si përdoruesit e tjerë. Për më tepër, Sudo mund të konfigurohet në një mënyrë të veçantë, për shkak të së cilës është e mundur të ekzekutohen komanda në emër të përdoruesve të tjerë, me përjashtim të superpërdoruesit. Për ta bërë këtë, duhet të bëni rregullimet e duhura në skedarin e konfigurimit.
Thelbi i problemit qëndron në mënyrën se si Sudo trajton ID-të e përdoruesve. Nëse futni ID-në e përdoruesit -1 ose ekuivalentin e tij 4294967295 në vijën e komandës, komanda që ekzekutoni mund të ekzekutohet me të drejtat e superpërdoruesit. Për shkak se ID-të e specifikuara të përdoruesve nuk janë në bazën e të dhënave të fjalëkalimeve, komanda nuk do të kërkojë një fjalëkalim për të ekzekutuar.
Për të zvogëluar gjasat e problemeve që lidhen me këtë dobësi, përdoruesit këshillohen të përditësojnë Sudo në versionin 1.8.28 ose më të ri sa më shpejt të jetë e mundur. Mesazhi thotë se në versionin e ri të Sudo, parametri -1 nuk përdoret më si ID e përdoruesit. Kjo do të thotë që sulmuesit nuk do të jenë në gjendje të shfrytëzojnë këtë dobësi.
Burimi: 3dnews.ru