IT資訊
當前位置:草根網 > IT資訊 >  數碼之家

Linux曝出Sudo提權漏洞 受限用戶亦可運行root命令

2019-11-05 13:24:00 N軟網 N軟 編輯:草根 瀏覽數:14草根網

作為 Linux 中最常使用的重要實用程序之一,Sudo 幾乎安裝在每一款 UNIX 和 Linux 發行版上,以便用戶調用和實施核心命令。然而近期曝出的一個提權漏洞,卻直指 sudo 的一個安全策略隱患?—— 即便配置...

作為 Linux 中最常使用的重要實用程序之一,Sudo 幾乎安裝在每一款 UNIX 和 Linux 發行版上,以便用戶調用和實施核心命令。然而近期曝出的一個提權漏洞,卻直指 sudo 的一個安全策略隱患?—— 即便配置中明確不允許 root 用戶訪問,該漏洞仍可允許惡意用戶或程序,在目標 Linux 系統上以 root 用戶身份執行任意命令。


(題圖 via?Hacker News)

據悉,Sudo 特指“超級用戶”。作為一個系統命令,其允許用戶以特殊權限來運行程序或命令,而無需切換使用環境(通常以 root 用戶身份運行命令)。

默認情況下,在大多數 Linux 發行版中(如屏幕快照所示),/ etc / sudoers 的 RunAs 規范文件中的 ALL 關鍵字,允許 admin 或 sudo 分組中的所有用戶,以系統上任何有效用戶的身份運行任何命令。

然而由于特權分離是 Linux 中最基本的安全范例之一,因此管理員可以配置 sudoers 文件,來定義哪些用戶可以運行哪些命令。

這樣一來,基板限制了用戶以 root 身份運行特定或任何命令,該漏洞也可允許用戶繞過此安全策略,并完全控制系統。

Sudo 開發者稱: “只要 Runas 規范明確禁止 root 訪問、首先列出 ALL 關鍵字,具有足夠 sudo 權限的用戶就可以使用它來以 root 身份運行命令。”

據悉,該漏洞由蘋果信息安全部門的 Joe Vennix 追蹤發現(CVE-2019-14287)。且想要利用這個 bug,只需 Sudo User ID -1 或 4294967295 。

這是因為將用戶 ID 轉換為用戶名的函數,會將 -1(或無效等效的 4294967295)誤認為 0,而這正好是 root 用戶 User ID 。

此外,由于通過 -u 選項指定的 User ID 在密碼數據庫中不存在,因此不會運行任何 PAM 會話模塊。

綜上所述,該漏洞影響最新版本 1.8.28 之前的所有 Sudo 版本。慶幸的是,幾個小時前,各大 Linux 發行版都已經在向用戶推送新版本了。

分享到:

版權與免責聲明:

凡未注明"稿件來源"的內容均為轉載稿,本網轉載出于傳遞更多信息的目的;如轉載稿涉及版權問題,請作者聯系我們,同時對于用戶評論等信息,本網并不意味著贊同其觀點或證實其內容的真實性;


本文地址:http://www.qqoanp.live/news/2019/11/05/62347429.html

轉載本站原創文章請注明來源:草根網

行業聚焦

寧德時代聯合百城新能源成立新公司 涉及新能源科技、電池科技等業務

據天眼查數據顯示,近日,寧德時代聯合百城新能源成立了新公司,涉及了新能源科技、電池科技等業務。上海快卜新能源科技有限公司成立,該公司注冊資本5000萬元,法定代...[詳細]

三星折疊屏手機Galaxy Z Flip不會重蹈覆轍的五個原因

據國外媒體Mashable分析,三星Galaxy Z Flip將會比上一款折疊屏手機Galaxy Fold更成功,不再會重蹈去年折疊屏手機的質量問題及叫好不叫座...[詳細]

特斯拉:無鈷,不代表一定是磷酸鐵鋰電池

近日,有報道稱,特斯拉將采用磷酸鐵鋰電池,對此特斯拉在官方抖音號上表示:”請留意四月特斯拉的電池發布會,無鈷,不代表一定是磷酸鐵鋰。”這推翻了此前外界的猜測,認...[詳細]

寧德時代:已與特斯拉簽訂量產供貨定價協議

此前,網上爆出寧德時代與特斯拉的合作等事宜,對此,寧德時代回應稱,已與特斯拉簽訂量產供貨定價協議。此前,特斯拉與寧德時代商討在國產版電動汽車上使用無鈷電池,談判...[詳細]

蘋果新款 Powerbeats 耳機國行上架:1199元

強勁性能,伴你左右Powerbeats 高性能無線耳機搭載 Apple H1 耳機芯片,激勵你不斷前行。可調節的防滑耳掛確保佩戴舒適穩固,增強的抗汗抗水設計則讓...[詳細]

科技趨勢

更多

正式發布S20/Ultra 5G和Z Flip折疊屏手機,三星走上復興之路

 

2月12日消息,據外媒報道,美國當地時間周二,三星電子公司在舊金山發布了其最新款智能手機,希望能幫助公司實現復興。這些手...[詳細]

微軟公布GDC 2020直播活動時間表:含Xbox新主機專場

 

IT之家3月10日消息 微軟通過官方博客宣布,將于當地時間3月17日至18日在Mixer直播平臺,與業內人士分...[詳細]

V社打算重啟《Artifact》:直面失敗,從頭再來

 

IT之家3月21日消息 V社的CCG/策略游戲《Artifact》是比較失敗的,但這并不意味著他們已經放棄了在...[詳細]

馬云“求轉發”:成立在線健康咨詢平臺,為海外同胞提供防治咨詢

 

IT之家3月23日消息 今日上午馬云通過個人官方微博發文稱,馬云公益基金會和阿里巴巴公益基金會緊急搭建了一個“...[詳細]

【IT之家開箱】OPPO Find X2 Pro茶橘圖賞

 

IT之家3月6日消息 今天下午,OPPO正式發布新款OPPO Find X2系列手機,全系搭載了驍龍865處理...[詳細]

一周排行每月關注
性感沙滩走势图 网球比分188 昆明快餐女上门 强奸a片 内蒙古11选5台子 辽宁快乐12 深圳风采35选7开奖公 成熟妇女色惰片 好运快3开奖结果查 东京热一本道百度影音 安徽十一选五的走势图 陕西体彩十一选五开 黑龙江11选5下注 球探网足球即时 辽宁麻将怎么胡 浙江快乐12 上海11选5全中多少钱