日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Linuxsudo漏洞可能導(dǎo)致未經(jīng)授權(quán)的特權(quán)訪問

在 linux 中利用新發(fā)現(xiàn)的 sudo 漏洞可以使某些用戶以 root 身份運行命令,盡管對此還有所限制。

sudo 命令中最近發(fā)現(xiàn)了一個嚴重漏洞,如果被利用,普通用戶可以 root 身份運行命令,即使在 /etc/sudoers 文件中明確禁止了該用戶這樣做。

將 sudo 更新到版本 1.8.28 應(yīng)該可以解決該問題,因此建議 Linux 管理員盡快這樣做。

如何利用此漏洞取決于 /etc/sudoers 中授予的特定權(quán)限。例如,一條規(guī)則允許用戶以除了 root 用戶之外的任何用戶身份來編輯文件,這實際上將允許該用戶也以 root 用戶身份來編輯文件。在這種情況下,該漏洞可能會導(dǎo)致非常嚴重的問題。

用戶要能夠利用此漏洞,需要在 /etc/sudoers 中為用戶分配特權(quán),以使該用戶可以以其他用戶身份運行命令,并且該漏洞僅限于以這種方式分配的命令特權(quán)。

此問題影響 1.8.28 之前的版本。要檢查你的 sudo 版本,請使用以下命令:

$ sudo -V
Sudo version 1.8.27 <===
Sudoers policy plugin version 1.8.27
Sudoers file grammar version 46
Sudoers I/O plugin version 1.8.27

該漏洞已在 CVE 數(shù)據(jù)庫中分配了編號 CVE-2019-14287。它的風(fēng)險是,任何被指定能以任意用戶運行某個命令的用戶,即使被明確禁止以 root 身份運行,它都能逃脫限制。

下面這些行讓 jdoe 能夠以除了 root 用戶之外的其他身份使用 vi 編輯文件(!root 表示“非 root”),同時 nemo 有權(quán)運行以除了 root 身份以外的任何用戶使用 id 命令:

# affected entries on host “dragonfly”
jdoe dragonfly = (ALL, !root) /usr/bin/vi
nemo dragonfly = (ALL, !root) /usr/bin/id

但是,由于存在漏洞,這些用戶中要么能夠繞過限制并以 root 編輯文件,或者以 root 用戶身份運行 id 命令。

攻擊者可以通過指定用戶 ID 為 -1 或 4294967295 來以 root 身份運行命令。

sudo -u#-1 id -u

或者

sudo -u#4294967295 id -u

響應(yīng)為 1 表明該命令以 root 身份運行(顯示 root 的用戶 ID)。

蘋果信息安全團隊的 Joe Vennix 找到并分析該問題。

總結(jié)

以上所述是小編給大家介紹的Linux sudo 漏洞可能導(dǎo)致未經(jīng)授權(quán)的特權(quán)訪問,大家如有疑問可以留言,或者聯(lián)系站長。感謝親們支持?。。?br /> 如果你覺得本文對你有幫助,歡迎轉(zhuǎn)載,煩請注明出處,謝謝!

成都創(chuàng)新互聯(lián)科技有限公司,經(jīng)過多年的不懈努力,公司現(xiàn)已經(jīng)成為一家專業(yè)從事IT產(chǎn)品開發(fā)和營銷公司。廣泛應(yīng)用于計算機網(wǎng)絡(luò)、設(shè)計、SEO優(yōu)化、關(guān)鍵詞排名等多種行業(yè)!


分享題目:Linuxsudo漏洞可能導(dǎo)致未經(jīng)授權(quán)的特權(quán)訪問
網(wǎng)站鏈接:http://m.5511xx.com/article/coscocd.html