Linux uchun Sudo (super user do) buyrug'ida zaiflik aniqlangani ma'lum bo'ldi. Ushbu zaiflikdan foydalanish imtiyozsiz foydalanuvchilar yoki dasturlarga superfoydalanuvchi huquqlariga ega buyruqlarni bajarishga imkon beradi. Ta'kidlanishicha, zaiflik nostandart sozlamalarga ega tizimlarga ta'sir qiladi va Linux bilan ishlaydigan aksariyat serverlarga ta'sir qilmaydi.
Zaiflik Sudo konfiguratsiya sozlamalari buyruqlarni boshqa foydalanuvchilar kabi bajarishga ruxsat berish uchun foydalanilganda yuzaga keladi. Bundan tashqari, Sudo maxsus tarzda sozlanishi mumkin, buning natijasida superuserdan tashqari boshqa foydalanuvchilar nomidan buyruqlarni bajarish mumkin. Buning uchun konfiguratsiya fayliga tegishli o'zgarishlar kiritishingiz kerak.
Muammoning mohiyati Sudo foydalanuvchi identifikatorlarini boshqarish usulida yotadi. Agar siz buyruq satrida foydalanuvchi ID -1 yoki uning ekvivalenti 4294967295 ni kiritsangiz, ishga tushirilgan buyruq superuser huquqlari bilan bajarilishi mumkin. Belgilangan foydalanuvchi identifikatorlari parollar bazasida bo'lmaganligi sababli, buyruqni bajarish uchun parol talab qilinmaydi.
Ushbu zaiflik bilan bog'liq muammolar ehtimolini kamaytirish uchun foydalanuvchilarga Sudo-ni 1.8.28 yoki undan keyingi versiyaga imkon qadar tezroq yangilash tavsiya etiladi. Xabarda aytilishicha, Sudo-ning yangi versiyasida -1 parametri endi foydalanuvchi identifikatori sifatida ishlatilmaydi. Bu shuni anglatadiki, tajovuzkorlar ushbu zaiflikdan foydalana olmaydi.
Manba: 3dnews.ru