Linux指令sudo的官網於本周提出警告,指出sudo指令含有一編號為CVE-2019-14287的安全漏洞,將允許無特權的使用者取得最高權限(Root),以執行任何命令。Sudo團隊已釋出sudo 1.8.28以修補該漏洞,先前的版本都受到波及,幸好該漏洞只會在非標準配置的狀況下被觸發,並未影響多數的Linux伺服器。

sudo為一用於類Unix平台的指令,允許用戶以安全權限或其它使用者的權限執行命令或程式。根據Sudo的說明,當在Runas規格中使用All關鍵字時,就能讓sudo用戶以任何使用者的身分執行命令,假設所指定的使用者為ID -1或4294967295,即可能以最高權限執行命令。

然而,CVE-2019-14287漏洞會在sudo用戶擁有足夠的權限時,允許他以最高權限執行命令,就算在Runas規格中明述在採用ALL關鍵字時,禁止最高權限的存取。換句話說,該漏洞繞過了Runas的使用者限制。

要開採該漏洞的駭客,必須先擁有能夠以任何使用者身分執行命令的sudo權限,多少限制了該漏洞的攻擊表面。

此一漏洞是由蘋果的資安工程師Joe Vennix所揭露,Sudo團隊也已釋出sudo 1.8.28修補,用戶應儘快升級。


Advertisement

更多 iThome相關內容