Napag-alaman na ang isang kahinaan ay natuklasan sa Sudo (super user do) na utos para sa Linux. Ang pagsasamantala sa kahinaang ito ay nagbibigay-daan sa mga walang pribilehiyong user o program na magsagawa ng mga utos na may mga karapatan ng superuser. Napansin na ang kahinaan ay nakakaapekto sa mga system na may hindi karaniwang mga setting at hindi nakakaapekto sa karamihan ng mga server na nagpapatakbo ng Linux.
Ang kahinaan ay nangyayari kapag ang mga setting ng pagsasaayos ng Sudo ay ginagamit upang payagan ang mga utos na maisakatuparan bilang ibang mga gumagamit. Bilang karagdagan, ang Sudo ay maaaring i-configure sa isang espesyal na paraan, dahil sa kung saan posible na magpatakbo ng mga command sa ngalan ng iba pang mga user, maliban sa superuser. Upang gawin ito, kailangan mong gawin ang naaangkop na mga pagsasaayos sa file ng pagsasaayos.
Ang pinakabuod ng problema ay nakasalalay sa paraan ng paghawak ng Sudo sa mga user ID. Kung ipinasok mo ang user ID -1 o ang katumbas nito na 4294967295 sa command line, ang command na iyong pinapatakbo ay maaaring isagawa nang may mga karapatan ng superuser. Dahil ang mga tinukoy na user ID ay wala sa database ng password, ang command ay hindi mangangailangan ng password upang tumakbo.
Upang mabawasan ang posibilidad ng mga isyu na nauugnay sa kahinaang ito, pinapayuhan ang mga user na i-update ang Sudo sa bersyon 1.8.28 o mas bago sa lalong madaling panahon. Ang mensahe ay nagsasaad na sa bagong bersyon ng Sudo, ang -1 na parameter ay hindi na ginagamit bilang isang user ID. Nangangahulugan ito na hindi magagamit ng mga umaatake ang kahinaang ito.
Pinagmulan: 3dnews.ru