欢迎进入allbet欧博官网ALLbet6.com 。allbet欧博官网开放Allbet代理网页版、Allbet会员网页版、Allbet会员注册、Allbet代理开户、Allbet电脑客户端下载、Allbet手机版下载等业务。

首页快讯正文

usdt钱包支付(www.caibao.it):快检查一下你的sudo:无需密码就能获取root权限,照样个10年迈bug

admin2021-01-2876

USDT自动充值

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

原题目:快检查一下你的sudo:无需密码就能获取root权限,照样个10年迈bug

贾浩楠 鱼羊 发自 凹非寺

量子位 报道 | 民众号 QbitAI

“这可能是近期内最需要重视的sudo破绽。”

程序员都知道,一句sudo可以“为所欲为”。

而现在,来自Qualys的平安研究职员发现,sudo中存在一个严重的破绽:

任何本地用户,无需身份验证(密码),也能获得root权限

也就是说,攻击者完全可以行使这个破绽,直接接受主机系统!

什么样的破绽

Qualys的研究职员指出,此破绽是基于堆的缓冲区溢出。

行使这一破绽,攻击者无需知道用户密码,一样可以获得root权限。而且,是在默认设置下。

通常,通过shell(sudo -s或sudo -i)运行下令行时,sudo会转义特殊字符。

但 -s 或 -i 也可能被用来运行sudoedit,在这种情况下,实际上特殊字符没有被转义,这就可能导致缓冲区溢出。

行使该破绽,研究职员在多个Linux发行版上乐成获得了完整的root权限,包罗 Ubuntu 20.04(sudo 1.8.31)、 Debian 10(sudo 1.8.27)和 Febora 33(sudo 1.9.2)。

而且,Qualys以为,在这种情况下,sudo支持的其他操作系统和Linux发行版也很容易受到攻击,并不能清扫风险。

破绽10年前就存在

能让攻击者跳过身份验证,直接获取root权限,这个破绽自己的严重水平,按理说应该引起大部分用户和开发者注重。

事实上,这个破绽2011年7月最先就已经存在,是由 8255ed69这个commit引入的。

匪夷所思的是,从2011年7月29日提交到现在,一直没有人发现、修复由此引发的破绽。

也就是说,这个破绽一直存在于sudo1.9.0到1.9.5p1的所有稳固版本,和1.8.2到1.8.31p2的所有旧版本的默认设置中。

根据老例,在Qualys宣布这一破绽的详细新闻之前,sudo已经正式修复这个破绽。

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

以是,升级到sudo的1.9.5p2或是更高版本,就能化解风险。

若何测试你现在使用的sudo版本是否存在破绽呢?

首先你需要以非root用户的身份登录,并运行“ sudoedit -s /”下令。

有破绽的系统会抛出一个以 “ sudoedit: ”开头的错误,而打过补丁的系统则会显示一个以 “ usage:”开头的错误。

为啥10年未修复?

为什么提交近10年间,这个破绽都没人剖析呢?

在Hacker News上,有网友给出了推断:

他以为,包罗但不限于sudo这样的Linux程序的用户提交声明, 是从来没有经由测试的

提交没有测试的bug声明,原作者是没有足够的理由信赖bug的真实性,也就无所谓bug是否修复了。

好比去年,有苹果的平安职员也发现了一个类似的平安破绽,Linux Mint上的sudo在非默认设置下,也允许用户跳过身份验证获得root权限。

而类似这样的破绽补丁,大部分也没有经由测试,以是,对用户来说,纵然安装破绽修复,也还存在破绽修补不完全,以及引起新破绽的风险。

还有人说,sudo官方没有“审稿人”的职能,对于用户的提交,没有确定的平安尺度,以是也不会有的测试和审核。

普通用户怎么办呢?

很遗憾,现在基本没有一套完善的解决办法。

面临可能存在的破绽,你能做的,就是格外注意自己的系统平安,制止不信任的用户碰着你的电脑。

加入AI社群,拓展你的AI行业人脉

量子位「AI社群」招募中!迎接AI从业者、关注AI行业的小伙伴们扫码加入,与 50000+名密友配合关注人工智能 行业生长&手艺希望

վ'ᴗ' ի 追踪AI手艺和产物新动态

网友评论

2条评论
  • 2021-05-28 00:02:23

    usdt第三方支付平台菜宝钱包www.caibao.it是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。哈哈,好欢乐