您的位置首页>业界>

苹果研究人员发现Linux Sudo命令中存在巨大缺陷

导读 Apple Information Security的Joe Vennix在Linux sudo实用程序中发现了一个重要的安全漏洞(CVE-2019-14287),该漏洞可能允许其他用户获

Apple Information Security的Joe Vennix在Linux sudo实用程序中发现了一个重要的安全漏洞(CVE-2019-14287),该漏洞可能允许其他用户获得Linux计算机上未经授权的管理(“ root”)特权。

Sudo命令允许特定用户在使用root帐户的密码进行身份验证后,对其自己的用户帐户获得管理特权。在Linux世界中,root用户类似于默认的Windows Administrator帐户。

研究人员发现,通常允许root用户执行任何命令的ALL关键字可用于绕过先前为非root用户设置的限制。由于存在此漏洞,在etc / sudoers文件中配置的非root用户或程序也将能够运行任何root命令并接管系统。

要利用此错误,恶意方在运行sudo帐户时需要指定用户ID“ -1”或“ 4294967295”,这似乎是系统允许的,因为将用户ID转换为真实用户名的功能会“ -1”和“ 4294967295”为“ 0”,这是根用户的用户ID。

该漏洞影响今天发布的1.8.28之前的所有sudo版本。该更新也正在交付到各个发行版中,因此,如果您正在运行Linux,则可能要检查系统是否有更新,直到sudo实用程序获得所提到的版本或更高版本。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。