在設定中啟用 pwfeedback 選項 須藤,攻擊者可以導致緩衝區溢出並提升他們在系統上的權限。
此選項可以將輸入的密碼字元直觀地顯示為 * 符號。 在大多數發行版上,它預設為停用。 然而,在 Linux Mint и 基本操作系統 它包含在 /etc/sudoers 中。
攻擊者利用漏洞 不一定 位於允許運行 sudo 的使用者清單中。
該漏洞存在於 須藤 版本來自 1.7.1 上 1.8.30。 版本漏洞 1.8.26-1.8.30 最初是有問題的,但目前可以肯定的是,它們也很脆弱。
CVE-2019,18634 – 包含過時的資訊。
該漏洞已在版本中修復 1.8.31。 如果無法更新,您可以在 /etc/sudoers 中停用此選項:
預設值 !pwfeedback
來源: linux.org.ru