Linux Superuser Do（Sudo）发现常见漏洞，暴露于root用户访问权限

TL; DR：Sudo开发人员将CVE-2019-14287分配给其常见漏洞和披露数据库，标题为Runas用户限制的潜在绕过。该特定的CVE允许安全绕过，从而潜在地允许恶意行为者进行根访问。 Superuser do（Sudo）是几乎所有UNIX和Linux操作系统上安装的重要实用程序。

Linux Superuser Do（Sudo）被发现具有常见漏洞

“当将sudo配置为允许用户通过Runas规范中的ALL关键字以任意用户身份运行命令时，” sudo开发人员Todd Miller于2019年10月14日宣布，“可以通过指定用户ID以root用户身份运行命令- 1或4294967295。具有足够sudo特权的用户可以使用此命令以root用户身份运行命令，即使Runas规范明确禁止root用户访问，只要在Runas规范中首先上架ALL关键字即可。以这种方式运行的命令的日志条目将上架目标用户为4294967295，而不是root。另外，该命令将不会运行PAM会话模块。”

The黑客 News的创始人Mohit Kumar解释说：“存在问题的漏洞是sudo安全策略绕过问题，即使明确地'sudoers配置'，该漏洞也可能允许恶意用户或程序在目标Linux系统上以root用户身份执行任意命令。禁止root访问。最终，Sudo是一个命令，它允许其他命令“具有不同用户的特权，而无需切换环境-通常，以root用户身份运行命令”，Kumar继续说道。

黑客新闻

Kumar进一步指出：“在大多数Linux发行版中，默认情况下，/ etc / sudoers文件中RunAs规范中的ALL关键字，如屏幕快照所示，允许admin或sudo组中的所有用户以任何有效用户身份运行任何命令。在系统上。” 1.8.28之前的所有sudo版本都会受到影响。

Miller保证：“该错误已在sudo 1.8.28中修复。” Miller保证说，“来自Apple Information Security（该人）的Joe Vennix发现并分析了该错误。” Linux是作为开放源代码操作系统开发的，最初由美籍芬兰开发人员Linus创建。 Torvalds大约是三十年前的事，尽管在主流桌面用户中相对较不流行，但比特币人经常在几乎所有节点，实现甚至钱包的迭代中都使用该平台。

。

DYOR：CoinSpice是你存放辛辣加密货币物品的家。我们不隶属于任何加密货币项目或令牌。每篇发表的文章仅供参考，不提供投资建议，也不希望影响投机市场。那里有很多交易网站和针对特定代币的宣传期刊，但我们都没有。 CoinSpice努力在我们的报告中保持严格的准确性。此处提供的信息通常取决于许多因素，并且生态系统快速移动-价格变化，项目变化且变化迅速。做你自己的研究。

披露：作者将加密货币作为其包括BCH在内的金融资产的一部分。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。