#sudo

Критична вразливість десятирічної давності в sudo дає root-права

У компанії Qualys знайшли критичну вразливість в sudo. З її допомогою можна отримати root-права без будь-якої аутентифікації. Вразливість доступна будь-якому користувачеві, навіть без присутності в системних групах і фіксації в файлі /etc/sudoer. Найцікавіше в цій новині: проблема виникла ще у 2011 році. Пароль для атаки не потрібен, так що будь-який користувач може підвищити права після компрометації непривілейованого процесу. У Qualys…

Через уязвимость в sudo можно получить root-права

Утилита Sudo даёт выполнять команды от имени других пользователей. Недавно в ней выявили уязвимость CVE-2019-14287, которая даёт выполнять команды с root-правами при запрете на их запуск. Как это работает? Уязвимость работает, если в настройках sudoers правил в секции проверки идентификатора пользователя после слова “ALL” есть запрет запуска с root-правами (“… (ALL, !root) …”). По умолчанию уязвимость никак не проявляется, а…

Дякуємо, що поділились