Fw: [情報] sudo CVE-2021-3156

看板Linux作者 ( )時間3年前 (2021/01/27 22:23), 編輯推噓28(28082)
留言110則, 12人參與, 3年前最新討論串1/1
※ [本文轉錄自 NetSecurity 看板 #1W4MUNUP ] 作者: CMJ0121 (不要偷 Q) 看板: NetSecurity 標題: [情報] sudo CVE-2021-3156 時間: Wed Jan 27 21:16:04 2021 簡單來說呢 有在使用 sudo 的環境記得升級一下 sudo 版本 中文版本文章[0]表示 有研究人員發現 sudo 有 heap overflow[1] 的狀況 適用情境包含所有系統內的使用者 (含非 sudoer) 所以這個漏洞應該是很好用 (?) 另外 最近在玩 root-me 其中有一關[2]是滿滿的 sudo 誤用的情況 玩到現在的心得就是 不要給 sudo 權限就對了 [0]: https://www.ithome.com.tw/news/142469 [1]: https://en.wikipedia.org/wiki/Heap_overflow [2]: https://www.root-me.org/en/Challenges/App-Script/Bash-Restricted-shells -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.162.139.70 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1611753367.A.799.html ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: holishing (140.116.137.106 臺灣), 01/27/2021 22:23:38
01/27 22:25, 3年前 , 1F
Debian, Ubuntu, SUSE, RHEL 都 patch 了, CentOS 不管
01/27 22:25, 1F
01/27 22:25, 3年前 , 2F
哪個系列的再等等或是自己抓 git.centos.org 的 patch
01/27 22:25, 2F
01/27 22:25, 3年前 , 3F
下來從 SRPM 重編
01/27 22:25, 3F
01/27 22:59, 3年前 , 4F
今天看新聞好像也是陳年漏洞 (X
01/27 22:59, 4F
01/27 23:27, 3年前 , 5F
不過也是最近才揭露的,昨天patch了
01/27 23:27, 5F
01/27 23:42, 3年前 , 6F
CentOS 7 已更新
01/27 23:42, 6F
01/27 23:55, 3年前 , 7F
原來 sudo 比 root 還危險!:p
01/27 23:55, 7F
01/28 05:03, 3年前 , 8F
對 CentOS 都更新了
01/28 05:03, 8F
01/28 09:27, 3年前 , 9F
root只有root本人犯錯,sudo增加更多人可以犯錯,確實比較
01/28 09:27, 9F
01/28 09:27, 3年前 , 10F
危險 (誤)
01/28 09:27, 10F
01/28 13:58, 3年前 , 11F
小的我跳出來回一下我當初的意思 我玩到後來偏好 sudo
01/28 13:58, 11F
01/28 13:58, 3年前 , 12F
就全開權限、不要只開部分程式權限
01/28 13:58, 12F
01/28 13:59, 3年前 , 13F
另外 sudo 的好處就是紀錄哪個人執行高權限指令
01/28 13:59, 13F
01/28 16:43, 3年前 , 14F
@CMJ0121 看怎麼使用,及視所處層次而定。但把root
01/28 16:43, 14F
01/28 16:44, 3年前 , 15F
掉,我覺得不是很好的做法。請參考以下文章:
01/28 16:44, 15F
01/28 16:45, 3年前 , 16F
01/28 16:45, 16F
01/28 16:45, 3年前 , 17F
s/root掉/root拿掉/
01/28 16:45, 17F
01/28 17:50, 3年前 , 18F
doas 有比 sudo 安全嗎?我看一個叫 Mental Outlaw
01/28 17:50, 18F
01/28 17:50, 3年前 , 19F
的 YouTuber 一直推薦
01/28 17:50, 19F
01/28 17:51, 3年前 , 20F
之前他就推過,這次出事他馬上跳出來呼籲
01/28 17:51, 20F
01/28 18:00, 3年前 , 21F
還好我都沒在用sudo
01/28 18:00, 21F
01/28 18:09, 3年前 , 22F
@S\d.* 工具只是工具,看怎麼用,有洞就補起來。
01/28 18:09, 22F
01/28 18:11, 3年前 , 23F
OpenSSL 不是號稱安全嗎?結果爆出血來,補都來不及
01/28 18:11, 23F
01/28 18:11, 3年前 , 24F
所以才會有 LibreSSL 出來。
01/28 18:11, 24F
01/29 07:59, 3年前 , 25F
不相信doas也要相信OpenBSD吧
01/29 07:59, 25F
01/29 08:57, 3年前 , 26F
是在說用工具的態度問題,不是在說 doas 不好。
01/29 08:57, 26F
01/29 08:58, 3年前 , 27F
LibreSSL 就是 OpwnBSD 從 OpenSSl fork 出來的。
01/29 08:58, 27F
01/29 08:59, 3年前 , 28F
s/OpwnBSD/OpenBSD/
01/29 08:59, 28F
01/29 14:12, 3年前 , 29F
我覺得功能類似 sudo 的工具都可以瞭解一下, doas 或是
01/29 14:12, 29F
01/29 14:13, 3年前 , 30F
紅帽常在桌面環境用的 polkit 也可以大概知道一下
01/29 14:13, 30F
01/29 21:03, 3年前 , 31F
那麼各大發行版怎麼不預設用 doas?
01/29 21:03, 31F
01/29 21:16, 3年前 , 32F
2015 才出現,雖馬上就 port 到 linux(OpenDoas)
01/29 21:16, 32F
01/29 21:17, 3年前 , 33F
可能還要觀察吧?但 arch/gentoo/void 有提供。
01/29 21:17, 33F
01/29 21:18, 3年前 , 34F
各大發行版怎麼不預設nftables偋棄iptables?
01/29 21:18, 34F
01/29 21:20, 3年前 , 35F
怎麼不預設gcc 10? 怎麼不預設suckless WM還在DE?
01/29 21:20, 35F
01/29 22:43, 3年前 , 36F
CentOS 8 把 iptables 丟了啊
01/29 22:43, 36F
01/30 05:25, 3年前 , 37F
啊就先遣隊呀!XD
01/30 05:25, 37F
01/30 17:19, 3年前 , 38F
其實 Debian >=10 和 CentOS >=8 都轉 nftables 了..
01/30 17:19, 38F
01/30 17:19, 3年前 , 39F
Ubuntu 因為自家的一些東西還有 issue 還沒在 LTS 轉
01/30 17:19, 39F
還有 31 則推文
01/31 19:07, 3年前 , 71F
01/31 19:07, 71F
01/31 19:07, 3年前 , 72F
uecomment-770243361
01/31 19:07, 72F
01/31 19:25, 3年前 , 73F
嗯,我剛剛查了一下,arch 在 29 號就更新了,動作很
01/31 19:25, 73F
01/31 19:26, 3年前 , 74F
快。AUR 的版本就是 FreeBSD 採用的版本。參與者多。
01/31 19:26, 74F
01/31 19:27, 3年前 , 75F
也是我提到當初有大漏洞的版本。
01/31 19:27, 75F
01/31 19:28, 3年前 , 76F
VM 裝個 OpenBSD 吧!你會愛上她的 pf。
01/31 19:28, 76F
01/31 21:21, 3年前 , 77F
那遊戲方面呢?
01/31 21:21, 77F
01/31 21:25, 3年前 , 78F
好像比較難學?
01/31 21:25, 78F
01/31 21:36, 3年前 , 79F
01/31 21:36, 79F
01/31 21:36, 3年前 , 80F
不過,在 OpenBSD 上玩 game 有點浪費……
01/31 21:36, 80F
01/31 21:39, 3年前 , 81F
01/31 21:39, 81F
01/31 21:40, 3年前 , 82F
01/31 21:40, 82F
01/31 21:40, 3年前 , 83F
當然是灌 VM 跑 Win10 玩 STEAM 3A 大作
01/31 21:40, 83F
02/01 00:36, 3年前 , 84F
AUR 的那個開發者說是那個作者想詆毀他們,他們後來
02/01 00:36, 84F
02/01 00:36, 3年前 , 85F
還把他給封鎖
02/01 00:36, 85F
02/01 00:37, 3年前 , 86F
但 Arch 又是提供 opendoas
02/01 00:37, 86F
02/01 00:38, 3年前 , 87F
到底什麼情況
02/01 00:38, 87F
02/01 05:30, 3年前 , 88F
所以呀!我會叫你在 VM 裝個 OpenBSD 玩看看!XD
02/01 05:30, 88F
02/01 05:31, 3年前 , 89F
這裡頭牽涉到 BSD auth 整體身份認證結構,有點和
02/01 05:31, 89F
02/01 05:31, 3年前 , 90F
OpenBSD 綁死的那種情形。github/gitlib 還有其也的
02/01 05:31, 90F
02/01 05:32, 3年前 , 91F
repo,但最後都沒敢 release。
02/01 05:32, 91F
02/01 05:34, 3年前 , 92F
砑要選的話,我會選 Duncaen 的版本。原因是他是
02/01 05:34, 92F
02/01 05:34, 3年前 , 93F
Void Linux 的主要開發者之一,對 Linux 整體結構非
02/01 05:34, 93F
02/01 05:35, 3年前 , 94F
常熟悉。另外他們也把 LibreSSL 到 Void 裡頭去,所
02/01 05:35, 94F
02/01 05:35, 3年前 , 95F
以經驗比較豐富。
02/01 05:35, 95F
02/01 05:36, 3年前 , 96F
s/砑/硬/
02/01 05:36, 96F
02/01 05:38, 3年前 , 97F
s/LibreSSL 到 Void/LibreSSL port 到 Void/
02/01 05:38, 97F
02/01 05:43, 3年前 , 98F
@Bencrie 如果是說在 OpenBSD 灌 VM,目前還很抱歉。
02/01 05:43, 98F
02/01 09:01, 3年前 , 99F
在 Arch 論壇上面大家一面倒地認為 Duncaen 有道理
02/01 09:01, 99F
02/01 09:03, 3年前 , 100F
看來 slicer69 的開發方式真的有問題
02/01 09:03, 100F
02/01 09:04, 3年前 , 101F
而且 AUR 的那個是移植舊版的
02/01 09:04, 101F
02/01 19:25, 3年前 , 102F
好好吃飽,好好長大,好好讀書,好好修練,你以後就
02/01 19:25, 102F
02/01 19:26, 3年前 , 103F
會有能力去 review 他們的 code,判斷誰是誰非。
02/01 19:26, 103F
02/01 21:56, 3年前 , 104F
看了 FreeBSD 的安裝過程和 Linux 好像
02/01 21:56, 104F
02/02 00:34, 3年前 , 105F
你說哪個發行版...我覺得 Linux 光不同發行版就差很多
02/02 00:34, 105F
02/02 10:38, 3年前 , 106F
如果是說從 cd/iso copy 到 HD,這大家都很像。XD
02/02 10:38, 106F
02/02 10:38, 3年前 , 107F
要灌 *BSD,先了解它的碰碟配置結構,這和一般不同。
02/02 10:38, 107F
02/02 10:39, 3年前 , 108F
如果搞不清楚,現代的 *BSD 有一個 A 的選項,自動的
02/02 10:39, 108F
02/02 10:41, 3年前 , 109F
s/碰碟/磁碟/
02/02 10:41, 109F
02/02 16:37, 3年前 , 110F
我會覺得 FreeBSD 某些安裝步驟頗像 Android_x86 (?
02/02 16:37, 110F
更多 holishing 的文章
文章代碼(AID): #1W4NThqW (Linux)