[情報] Linux的sudo指令遭爆含有可取得最高權限的安全漏洞

看板PC_Shopping作者 (ilinker)時間4年前 (2019/10/17 23:13), 編輯推噓17(18123)
留言42則, 28人參與, 4年前最新討論串1/1
Linux的sudo指令遭爆含有可取得最高權限的安全漏洞 文/陳曉莉 | 2019-10-15發表 Linux指令sudo的官網於本周提出警告,指出sudo指令含有一編號為CVE-2019-14287的安 全漏洞,將允許無特權的使用者取得最高權限(Root),以執行任何命令。Sudo團隊已釋 出sudo 1.8.28以修補該漏洞,先前的版本都受到波及,幸好該漏洞只會在非標準配置的 狀況下被觸發,並未影響多數的Linux伺服器。 sudo為一用於類Unix平台的指令,允許用戶以安全權限或其它使用者的權限執行命令或程 式。根據Sudo的說明,當在Runas規格中使用All關鍵字時,就能讓sudo用戶以任何使用者 的身分執行命令,假設所指定的使用者為ID -1或4294967295,即可能以最高權限執行命 令。 然而,CVE-2019-14287漏洞會在sudo用戶擁有足夠的權限時,允許他以最高權限執行命令 ,就算在Runas規格中明述在採用ALL關鍵字時,禁止最高權限的存取。換句話說,該漏洞 繞過了Runas的使用者限制。 要開採該漏洞的駭客,必須先擁有能夠以任何使用者身分執行命令的sudo權限,多少限制 了該漏洞的攻擊表面。 此一漏洞是由蘋果的資安工程師Joe Vennix所揭露,Sudo團隊也已釋出sudo 1.8.28修補 ,用戶應儘快升級。 https://www.ithome.com.tw/news/133605 --
08/23 08:13,
故意不換腳位讓你單換cpu出問題最後連板一起換,老
08/23 08:13
08/23 08:13,
實說我覺得intel不換腳位良心多了
08/23 08:13
08/23 08:18,
1樓中肯!
08/23 08:18
08/23 08:39,
打錯,我是要說i皇換腳位
08/23 08:39
08/23 08:40,
而且5nm就能打贏14nm? 我看未必
08/23 08:40
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1571325226.A.25F.html
10/17 23:16, 4年前 , 1F
阿不然sudo 下爽的喔
10/17 23:16, 1F
10/17 23:17, 4年前 , 2F
是我對sudo的理解錯了嗎
10/17 23:17, 2F
10/17 23:20, 4年前 , 3F
感覺跟之前mac上的root漏洞很像啦
10/17 23:20, 3F
10/17 23:21, 4年前 , 4F
10/17 23:21, 4F
10/17 23:21, 4年前 , 5F
不過這是水果自己的問題就是
10/17 23:21, 5F
10/17 23:26, 4年前 , 6F
不能拿到最高root權限的sudo是什麼? QQ
10/17 23:26, 6F
10/17 23:30, 4年前 , 7F
pseudo
10/17 23:30, 7F
10/17 23:34, 4年前 , 8F
這哏不錯XD
10/17 23:34, 8F
10/17 23:40, 4年前 , 9F
我都玩數獨
10/17 23:40, 9F
10/17 23:42, 4年前 , 10F
sudo指令不就是這樣嗎
10/17 23:42, 10F
10/17 23:44, 4年前 , 11F
這是有用到ALL:!root才會,原生的sudo並不會
10/17 23:44, 11F
10/17 23:44, 4年前 , 12F
10/17 23:44, 12F
10/17 23:49, 4年前 , 13F
舉例就bob管理系統root和alice負責維護資料庫dbad
10/17 23:49, 13F
10/17 23:49, 4年前 , 14F
m, alice原本只能sudo dbadm,透過漏洞, alice可以
10/17 23:49, 14F
10/17 23:49, 4年前 , 15F
不為人知的協助bob管理系統,維護世界和平
10/17 23:49, 15F
10/18 00:00, 4年前 , 16F
sudo 不就是取得root身份執行嗎?
10/18 00:00, 16F
10/18 00:03, 4年前 , 17F
看到疑惑了很久,看了三次說明才看懂
10/18 00:03, 17F
10/18 00:03, 4年前 , 18F
不過這個影響層面真的不大
10/18 00:03, 18F
10/18 00:26, 4年前 , 19F
不然幹嘛下sudo 沒人用自己帳號操場系統的吧 sudo
10/18 00:26, 19F
10/18 00:26, 4年前 , 20F
su - 下下去才能開始工作啊
10/18 00:26, 20F
10/18 00:33, 4年前 , 21F
這個指令就要有一個官網的喔
10/18 00:33, 21F
10/18 00:33, 4年前 , 22F
光是一個指令就要有一個官網?
10/18 00:33, 22F
10/18 00:52, 4年前 , 23F
你都知道密碼才能sudo,那只執行一個指令跟su有差別
10/18 00:52, 23F
10/18 00:52, 4年前 , 24F
嗎?
10/18 00:52, 24F
10/18 03:32, 4年前 , 25F
這個應該比較算套件支援指令 不是一個指令一個官網
10/18 03:32, 25F
10/18 07:06, 4年前 , 26F
sudo rm -rf /*
10/18 07:06, 26F
10/18 08:21, 4年前 , 27F
這指令好像被封鎖了?
10/18 08:21, 27F
10/18 08:22, 4年前 , 28F
我說樓上
10/18 08:22, 28F
10/18 08:22, 4年前 , 29F
然後,幹,小朋友別亂玩這指令
10/18 08:22, 29F
10/18 08:23, 4年前 , 30F
如果被鎖就沒事,沒鎖就準備簽離職單
10/18 08:23, 30F
10/18 08:33, 4年前 , 31F
刪庫跑路
10/18 08:33, 31F
10/18 09:10, 4年前 , 32F
聽說樓樓上指令可以讓你電腦準備重灌呢~
10/18 09:10, 32F
10/18 09:28, 4年前 , 33F
sudo 是一個跨平台的開放原始碼專案
10/18 09:28, 33F
10/18 09:31, 4年前 , 34F
rm -rf不流行了啦 現在都dd了
10/18 09:31, 34F
10/18 09:32, 4年前 , 35F
因為很實用所以很多系統就直接包進去內建
10/18 09:32, 35F
10/18 10:25, 4年前 , 36F
dd if=/dev/zero of=/dev/sda2 現在都流行這樣?(誤
10/18 10:25, 36F
10/18 10:58, 4年前 , 37F
sudo一直都不等於真正變成root好嗎.......
10/18 10:58, 37F
10/18 13:54, 4年前 , 38F
條件太嚴苛啦
10/18 13:54, 38F
10/18 13:54, 4年前 , 39F
現在rm -rf /好像要加確認才能用
10/18 13:54, 39F
10/18 21:54, 4年前 , 40F
那就sudo su 就是真的root拉
10/18 21:54, 40F
10/19 07:06, 4年前 , 41F
不就是sudo了嗎?
10/19 07:06, 41F
10/19 11:19, 4年前 , 42F
其實還可以 sudo -i
10/19 11:19, 42F
更多 hn9480412 的文章
文章代碼(AID): #1Tg8Kg9V (PC_Shopping)