“在最新的Debian补丁中修复了导致客户根访问权限的Sudo错误”
debian安全公告向debian发布漏洞,该漏洞赋予非法顾客root访问权限。 这个小组于10月14日首次公布了这个错误。 已经有可以解决这个问题的补丁。 此错误存在于raspbian中。 pi的客户也需要更新。
问题出在sudo程序内。 根据安全日志,如果客户被配置为使用runas规范的all关键字以任何客户身份执行命令,则可以通过指定客户id -1或4294967295以root客户身份执行命令 这样,即使runas规范禁止root客户访问,客户也可以拥有作为root客户执行命令的足够的sudo权限。
pi客户可以在pi终端上使用以下命令验证当前操作系统的版本:
如果正在运行buster,则需要补丁级别1.8.27-1 + deb10u1。 如果pi仍在运行拉伸,则所需的修补程序级别为1.8.19p1-2.1 + deb9u1。
虽然非法路由访问非常严重,但安全专家(如yanick fratantonio )反复认为该错误被夸大了。 要利用这个漏洞,需要大多数客户不会遇到的非常特殊的情况。
保持操作系统最新仍然是个好习性。 虽然可能没有必要太着急,但是必须更新运行pi或debian的linux计算机。 可以在安全跟踪页面中查看sudo bug的状态。
免责声明:晨报时代网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的小编将予以删除。
心灵鸡汤: