Linux曝Sudo提权漏洞 受限用户可运行root命令

  • 栏目:行业动态 时间:2019-10-16 14:13
<返回列表

中关村在线消息:近日据外媒消息,Linux近期曝出的一个提权漏洞,直指 sudo 的一个安全策略隐患 :即便配置中明确不允许 root 葡京赌场真人游戏用户访问,该漏洞仍可允许恶意用户或程序,在目标 Linux 系统上以 root 用户身份执行任意命令。

Linux曝Sudo提权漏洞 受限用户可运行root命令

Linux曝Sudo提权漏洞 受限用户可运行root命令
Linux曝Sudo提权漏洞 受限用户可运行root命令

Sudo 特指“超级用户”。作为一个系统命令,其允许用户以特殊权限来运行程序或命令,而无需切换使用环境通常以 root 用户身份运行命令。

默认在大多数 Linux 发行版中,/ etc / sudoers 的 RunAs 规范文件中的 ALL 关键字,允许 admin 或 sudo 分组中的所有用户,以系统上任何有效用户的身份运行任何命令。

由于特权分离是 Linux 中最基本的安全范例之一,因此管理员可以配置 sudoers 文件,来定义哪些用户可以运行哪些命令。

基板限制了用户以 root 身份运行特定或任何命令,该漏洞也可允许用户绕过此安全策略,并完全控制系统。

Sudo 开发者称: “只要 Runas 规范明确禁止 root 访问、首先列出 ALL 关键字,具有足够 sudo 权限的用户就可以使用它来以 root 身份运行命令。”

该漏洞由苹果信息安全部门的 Joe Vennix 追踪发现(CVE-2019-14287)。且想要利用这个 bug,只需 Sudo User ID -1 或 4294967295 。

这是因为将用户 ID 转换为用户名的函数,会将 -1(或无效等效的 4294967295)误认为 0,而这正好是 root 用户 User ID 。

由于通过 -u 选项指定的 User ID 在密码数据库中不存在,因此不会运行任何 PAM 会话模块。

该漏洞影响最新版本 1.8.28 之前的所有 Sudo 版本。在几个小时前,各大 Linux 发行版都已经在向用户推送新版本了。

(文中图片来自互联网)

本文属于原创文章,如若转载,请注明来源:Linux曝Sudo提权漏洞 受限用户可运行root命令

更多阅读

三星GalaxyS10设备推安卓10的OneUI2.0公测版

行业动态 2019-10-16
中关村在线消息:据悉,三星今日宣布,其已开启基于 Android 10 的 One UI 2.0 的公测,美国、韩...
查看全文

Linux曝Sudo提权漏洞 受限用户可运行root命

行业动态 2019-10-16
中关村在线消息:近日据外媒消息,Linux近期曝出的一个提权漏洞,直指 sudo 的一个安全策略...
查看全文

比亚迪销量快报:1-9月新能源车增长34.

行业动态 2019-10-11
【TechWeb】10月10日晚间消息,比亚迪发布9月销量快报。公告显示,比亚迪新能源车9月销量为...
查看全文
返回全部新闻

友情链接:

Copyright © 2018 皇家赌场真人游戏皇家赌场真人游戏-老葡京赌场真人游戏-葡京赌场真人游戏 All Rights Reserved 备案号: