Kanyahokeun yén kerentanan kapanggih dina paréntah Sudo (pangguna super do) pikeun Linux. Eksploitasi kerentanan ieu ngamungkinkeun pamaké atawa program anu teu boga hak istimewa pikeun ngajalankeun paréntah kalawan hak superuser. Perhatikeun yén kerentanan mangaruhan sistem sareng setélan non-standar sareng henteu mangaruhan kalolobaan server anu ngajalankeun Linux.
Kerentanan lumangsung nalika setelan konfigurasi Sudo dipaké pikeun ngidinan paréntah dieksekusi salaku pamaké séjén. Sajaba ti éta, Sudo bisa ngonpigurasi dina cara husus, alatan nu kasebut nyaéta dimungkinkeun pikeun ngajalankeun paréntah atas nama pamaké séjén, iwal ti superuser nu. Jang ngalampahkeun ieu, anjeun kudu nyieun pangaluyuan luyu kana file konfigurasi.
The crux tina masalah perenahna di cara Sudo handles ID pamaké. Upami anjeun ngasupkeun ID pangguna -1 atanapi sarimbagna 4294967295 dina garis paréntah, paréntah anu anjeun jalankeun tiasa dieksekusi kalayan hak superuser. Kusabab ID pangguna anu ditangtukeun henteu aya dina pangkalan data sandi, paréntahna henteu meryogikeun sandi pikeun ngajalankeun.
Pikeun ngirangan kamungkinan masalah anu aya hubunganana sareng kerentanan ieu, pangguna disarankan pikeun ngapdet Sudo kana versi 1.8.28 atanapi engké pas mungkin. Suratna nyatakeun yén dina versi anyar Sudo, parameter -1 henteu dianggo deui salaku ID pangguna. Ieu ngandung harti yén panyerang moal tiasa ngamangpaatkeun kerentanan ieu.
sumber: 3dnews.ru