看板 Gossiping作者 purplvampire (阿修雷)標題 [新聞] Sudo爆本地端最高權限漏洞,各家Linux相時間 Sat Jun 3 10:05:23 2017
1.媒體來源:
iThome
2.完整新聞標題:
Sudo爆本地端最高權限漏洞,各家Linux相繼修補更新
3.完整新聞內文:
如果linux系統啟用SELinux,並支援Sudo,擁有Sudo權限的使用者將能利用此一漏洞以任
意檔案覆蓋系統,或取得系統的最高權限。
文/陳曉莉 | 2017-06-02發表
紅帽、SUSE、Debian及Ubuntu等業者已相繼於日前修補自家Linux版本中的Sudo漏洞,該
漏洞將允許本地端駭客取得系統的最高權限。
Sudo為UNIX及Linux系統所使用的程式,允許一般使用者透過安全的方式以最高權限來執
行程式,且為上述Linux版本的預設程式。
資安業者Qualys在本周二公開揭露了相關漏洞,建立Sudo程式的Todd Miller亦於當天更
新了程式。
Miller解釋,假使系統啟用了SELinux(Linux核心安全模組),並支援Sudo,那麼擁有
Sudo權限的使用者就能利用該漏洞以任意檔案覆蓋系統,或是取得系統的最高權限。
該漏洞影響Sudo 1.8.6p7至Sudo 1.8.20的版本,Miller已釋出Sudo 1.8.20p1來修補該漏
洞。
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/114635
5.備註:
幹!是誰說Linux系統安全的?
喔,用盜版RHEL的CentOS用戶慢慢等盜版更新檔吧,祈禱這段時間不會被駭客肛小菊花QQ
--
推 obov: 雷姆教 雷姆教 雷姆幫你蕊懶叫08/22 00:40
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.35.120.28
※ 文章代碼(AID): #1PCXbeAM (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1496455528.A.296.html
推 wuyiulin: 我以為sudo菜市場阿嬤都會賣3F 06/03 10:07
推 OrzOGC: 還好我都不用sudo5F 06/03 10:08
→ trumpete: 裝完linux 第一件事情就是關閉selinux 阿~~~7F 06/03 10:09
推 sysstat: 鬼扯哩, 真的關掉一堆是不能做
只是patch而已 窮緊張10F 06/03 10:12
→ tkucuh: sudo 會受限啊,如果user right不掛進去的話。12F 06/03 10:12
→ wasijohn: 等等 sudo不是最高權限嗎?13F 06/03 10:14
sudo不是喔,最高永遠是root
※ 編輯: purplvampire (114.35.120.28), 06/03/2017 10:16:10
→ wasijohn: 這篇是說直接有開最高權限還是原本沒開然後可以走後門打開?14F 06/03 10:15
後者
sudo就是為了防止直接使用root造成的損害太大所作的第二層管理,這之間有SELinux
做防禦,這漏洞就像是西蒙鑽破天際一樣扯
※ 編輯: purplvampire (114.35.120.28), 06/03/2017 10:20:17
→ frogsleep: 有了sudo權限,不需要漏洞就能惡搞server了吧17F 06/03 10:18
→ manlike: sudo rm -rf /18F 06/03 10:18
推 OrzOGC: 有的不給用root只能用sudo,沒設定的話sudo啥也幹不了19F 06/03 10:19
推 slimu0001: 軟黑:微軟超獨裁,讓linux系統產生漏洞21F 06/03 10:21
→ Cyuhsuan: 嚇屎惹 趕緊開終端 sudo rm -rf /22F 06/03 10:21
推 Arbin: centos盜版?有木有八卦24F 06/03 10:25
八卦就是CentOS是把RHEL系統改Mark改名稱再推出的二手貨系統,跟RedHatRHEL有
87%像
噓 mstar: 再安全的系統也是會有漏洞,重點是定期更新25F 06/03 10:31
→ snngy: 都可以sudo了27F 06/03 10:32
噓 pentala: 至少還有公佈呀,沒公佈的咧???28F 06/03 10:34
推 rexxar: When in doubt, sudo.29F 06/03 10:42
推 Neps: 素肚31F 06/03 11:08
※ 編輯: purplvampire (114.35.120.28), 06/03/2017 13:07:53
--