摘要Debian安全公告在Debian中发布了一个漏洞,该漏洞使未经授权的用户具有root访问权限。该小组于10月14日首次宣布了该错误。已经有一个修补程
Debian安全公告在Debian中发布了一个漏洞,该漏洞使未经授权的用户具有root访问权限。该小组于10月14日首次宣布了该错误。已经有一个修补程序可以解决此问题。该错误存在于Raspbian中-Pi用户也将需要更新。
问题出在sudo程序内。安全日志解释说,“当配置为允许用户通过Runas规范中的ALL关键字以任意用户身份运行命令时,通过指定用户ID -1或4294967295允许以root用户身份运行命令。这可以允许用户使用即使Runas规范明确禁止root用户访问,也具有足够的sudo特权以root用户身份运行命令。”
Pi用户可以在Pi的终端中使用以下命令检查当前的操作系统版本。
如果您正在运行Buster,则需要补丁程序级别1.8.27-1 + deb10u1。如果您的Pi仍在运行Stretch,则所需的修补程序级别为1.8.19p1-2.1 + deb9u1。
尽管未经授权的根访问非常严重,但安全专家(例如Yanick Fratantonio)坚持认为该错误被夸大了。利用该漏洞将需要大多数用户不会遇到的非常特殊的情况。
保持操作系统最新仍然是一个好习惯。您可能不必着急,但是您仍然应该更新Pi或运行Debian的任何Linux机器。您可以在安全跟踪页面上检查sudo bug的状态。
