APP下载

存在近十年的Linux Sudo漏洞,可让任何本机使用者取得执行根权限

发布于2021-01-27 14:50:29

针对Sudo的堆积缓冲溢位漏洞(编号CVE-2021-3156),Qualys研究人员发展了数个概念验证攻击程式,并且成功在Ubuntu 20.04 (Sudo 1.8.31)、Debian 10 (Sudo 1.8.27)和Fedora 33 (Sudo 1.9.2)上,取得完整根权限。而其他Linux版本和操作系统,可能也同样曝险。(图片来源/Qualys)

安全厂商Qualys研究人员发现类Unix操作系统常用的Sudo程式,存在一个权限升级漏洞,在预设Sudo组态情况下,任何人都能取得主机上的根执行权限。

Sudo是一种工具程式,用于各种类Unix操作系统,包括BSD、Mac OS X以及GNU/Linux,允许一般使用者以另一人的根权限来执行程式。

Qualys研究人员发现的漏洞属于Sudo的堆积(heap-based)缓冲溢位漏洞,编号CVE-2021-3156。它在本机用户传送sudoedit -s及以单反斜线(\)结尾的指令行参数开采,任何本机使用者(包括一般使用者和系统使用者、sudoer或非sudoer)在未经验证(即无需知道密码)都能轻易完成。成功开采可造成权限扩张,无权限的本机用户因此取得主机根权限,可能危及资料隐私或导致系统被变更或无法使用。这项漏洞CVSS 3.1风险评分达7.0,属中高度风险。

这项漏洞从2011年7月就存在,等于公开将近10年,这个漏洞影响所有从1.8.2到1.8.31p2的旧版本,及从1.9.0到1.9.5p1的稳定版本。

Qualys研究人员发展了数个概念验证攻击程式,并且成功在Ubuntu 20.04 (Sudo 1.8.31)、Debian 10 (Sudo 1.8.27)和Fedora 33 (Sudo 1.9.2)上,取得完整根权限。而其他Linux版本和操作系统,可能也同样曝险。

安全公司于今年1月中发现后,通报Sudo的开发维护单位。Sudo已在本周完成修补。

Red Hat、SUSE、Ubuntu和Debian也分别发布安全公告,呼吁用户尽速升级到最新版本的Sudo套件。根据Red Hat公告,这项漏洞除了影响Red Hat Enterprise Linux 5-8版外,也影响Red Hat OpenShift Container Platform 4.x版。

相关文章

最新资讯

  • 一周大事:企业用桌机版Office 2021将涨价。.NET 6要完成.NET统一化最后一哩
    2021-03-01 00:46
  • 三星连续15年蝉联全球电视销售冠军
    2021-02-26 08:50
  • 华为再申请 “仓颉语言”商标:此前消息称该语…
    2021-02-26 09:49
  • Redmi发多款新品:K40起售价1999
    2021-02-26 08:50
  • 【本月器材精选速递】Sony 35mm f/1.4 GM 轻便顶级镜头到货
    2021-02-28 22:46

手机

  • 创通联达EB5边缘智能站正式全球发售
    2021-02-26 11:44
  • 欢太伴随万物互融而生 创新互联网综合服务
    2021-02-24 09:45
  • 无线耳机大比拼 OPPO Enco X和荣耀 Flybuds 3该怎么选择
    2021-02-24 09:45
  • 欢太科技为未成年人成长护航 倡议家长对手机应用加密
    2021-02-20 10:44
  • 骁龙888性能加持,iQOO 7玩手机游戏体验不同以往
    2021-02-07 12:46

数码

  • AMD掌门人称现有处理器性能已足够PC使用
    2019-03-01 00:48
  • 重口味暴力测试 iPhone 5遭大口径巴特雷狙击
    2019-03-01 00:48
  • Barnes & Noble发布两款Nook HD平板电脑
    2019-03-01 00:48
  • 三星继续嘲笑苹果:iPhone 5是老年机
    2019-03-01 00:48
  • 550MHz-1.3GHz iPhone5的A6处理器可调节
    2019-03-01 00:48

科技

  • 投资者集体起诉马斯克指责其Model3生产目标存在误导
    2018-04-16 22:32
  • 区块链技术让科学家共享患者健康资讯 同时保障个人资料安全
    2018-04-16 22:32
  • 扩展钙钛矿太阳能电池 科学家考虑3种可行方法
    2018-04-16 22:32
  • 密歇根大学开发出新型涂层 透明耐用且几乎排斥任何液体
    2018-04-16 22:32
  • 镍-铁坡莫合金与硅组合 科学家开发高效热电设备
    2018-04-16 22:32