不用密码就能获取 root 权限,sudo 被曝新漏洞

超级用户

在Unix系统下,关键任务通常是由超级用户(root)执行的。拥有root权限的用户可以读取、写入和执行系统中的任何文件和进程,这是保护系统安全的关键所在。为了提高系统的安全性,Unix系统运用了一种叫做sudo的工具,它可以允许普通用户在有限的范围内偶尔使用root权限。

sudo漏洞

自从2019年10月sudo 1.8.28发布以来,sudo在Unix系统中一直存在着与加密相关的问题。该问题允许攻击者在未知root密码的情况下不受限制地获得root权限。漏洞与多种Linux发行版和Mac系统都有关。

漏洞利用

利用漏洞需要满足以下条件:sudo未配置NOPASSWD选项、sudoers文件允许一个可信用户以特权权限运行未受信任的任意命令、持有低级特权或在sudoers文件中所指定的限制中允许的任何其他权限。

影响范围

该漏洞仅影响sudo 1.8.28及更早版本,请更新到更高的版本以避免风险。受影响的发行版包括Debian 9和Ubuntu 16.04 LTS,萤火虫Linux 3和Red Hat Enterprise Linux 7。

解决方法

如果您的系统受到此漏洞的影响,请参照Opswat的指南升级sudo 1.8.29或更高版本。为了保持系统安全,请尽快采取措施确保您对此漏洞做出了适当的响应。

标签:

免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com