https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html
Kaikkien linux ja unix - järjestelmien sudo - komennosta löytyi paha reikä. Antamalla käyttäjänuser id:ksi -1 tai 4294967295 tapahtuu virhe, jossa sudolla ajettava komento käynnistyy admin - oikeuksin riippumatta siitä miten rajoitetut oikeudet kyseisellä käyttäjällä on. Jos siis on oikeus ajaa ohjelmia paikkaamattomassa koneessa niin käyttäjällä on aina täydet oikeudet halutessaan.
Vika on korjattu sudo:n uudessa versiossa 1.8.28 joka julkaistiin maanantaina 14.10.2019.
Päivittämätön linux/unix sudo hajalla, admin oikeudet jokaisella
Anonyymi
9
<50
Vastaukset
- Anonyymi
Samassa päivitys ryppäässä mukana myös Chromium versio 77.0.3865.120 joka ei kuitenkaan korjannut hajalla olevaa oikolukua.
- Anonyymi
Koskee enemmänkin yrityksiä kun kotikoneessa sudoers ryhmässä ei juurikaan ole käyttäjiä.
- Anonyymi
Ei koske ketään koska päivitetty aika sitten pois koko ongelma!
- Anonyymi
Kiittäkää c-ohjelmointikieltä näistä kivoista pikku ylläreistä, joita tuntuu olevan vanhatkin ohjelmat pullollaan. Tuossa näyttää olevan 2^32-1 eli 32 - bittisen kokonaisluvun ylivuoto kyseessä.
c - kieli, suorituskykyä turvallisuuden kustannuksella. - Anonyymi
Artikkelin perusteella tuo vika ilmenee vain sellaisessa tapauksessa, että jollakulla käyttäjällä olisi jo ennestään oikeus ajaa joku komento minkä tahansa muun käyttäjän paitsi pääkäyttäjän oikeuksilla. Joka itsessään siis olisi varsin harvinainen tilanne.
Alkuperäinen hakkeriuutisten postaus on sensaatiohakuinen. Kyseessä on siis vika mutta varsin vähämerkityksinen. Tämän keskustelun otsikon pitäisi kuulua
"Päivittämätön linux/unix sudo sisältää vian, joka ei käytännössä vaikuta tietoturvallisuuteen ollenkaan." - Anonyymi
Tänään tuli Minttiin tuo sudo-päivitys. asia siis poissa päiväjärjestyksestä.
- Anonyymi
Bugi jää niihin koneisiin, joita harvemmin päivitetään eli esimerkiksi routtereihin joissa on dd-wrt tai muu linux - pohjainen käyttis. Sama koskee kaikkia linux ja unix käyttisten vanhoista komennoista löytyviä pitkään olemassaolleita vikoja.
- Anonyymi
Anonyymi kirjoitti:
Bugi jää niihin koneisiin, joita harvemmin päivitetään eli esimerkiksi routtereihin joissa on dd-wrt tai muu linux - pohjainen käyttis. Sama koskee kaikkia linux ja unix käyttisten vanhoista komennoista löytyviä pitkään olemassaolleita vikoja.
... josta syystä johtuen routterit ovat usein helppoja murron kohteita. Paljon vartijoina vähällä ylläpidolla.
Harva viitsii tai edes ymmärtää päivittää routteriaan. Jos se päivityksen yhteydessä lakkaa toimimasta niin sitten on nettiyhteys poikki joten asiaa viivytetään.
Ketjusta on poistettu 4 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Nesteen bensapumput pois, tilalle latausasemat
Näin se maailma muuttuu, kun Suomessakin liikenneasemat lopettavat polttoaineiden myynnin ja tarjoavat enää sähköä autoi2542536Mietin sinua nainen
Ikävöin sinua enemmän kuin voin myntää. Ajattelin et laitan sinulle viestriä (kirjoitin jo puhelimeen viestin) Sitten651665- 741464
Kyllä suoraan
Sanottua vi.tu.taa. Miksi en toiminut silloin. Sama kun olisi heittänyt smagardin menemään.601323Voisitko nainen kertoa mulle
Tykkäätkö sä musta, vai unohdanko koko jutun? Mä en viitti tulla sinne enää, ettei mua pidetä jonain vainoajana, ku sun1611232Härsilällä jännät paikat, saako hän 30 päiväsakkoa Rasmuksen tapauksesta
Syyttäjä vaatii peräti kolmekymmentä päiväsakkoa Härsilälle, vaikka todistajan mukaan Rasmus aloitti nuhjaamisen, jossa951172- 861049
- 871023
Nainen, viime aikoina olen itkenyt sinua yhä useammin
Niin kuin juuri äsken. Aamulla näin myös unta sinusta. Koskin unessa hiuksia päälaellasi, ja pyytelin sitä heti anteeksi57952- 103916