“在最新的Debian补丁中修复了导致客户根访问权限的Sudo错误”

debian安全公告向debian发布漏洞，该漏洞赋予非法顾客root访问权限。 这个小组于10月14日首次公布了这个错误。 已经有可以解决这个问题的补丁。 此错误存在于raspbian中。 pi的客户也需要更新。

问题出在sudo程序内。 根据安全日志，如果客户被配置为使用runas规范的all关键字以任何客户身份执行命令，则可以通过指定客户id -1或4294967295以root客户身份执行命令 这样，即使runas规范禁止root客户访问，客户也可以拥有作为root客户执行命令的足够的sudo权限。

pi客户可以在pi终端上使用以下命令验证当前操作系统的版本:

如果正在运行buster，则需要补丁级别1.8.27-1 + deb10u1。 如果pi仍在运行拉伸，则所需的修补程序级别为1.8.19p1-2.1 + deb9u1。

虽然非法路由访问非常严重，但安全专家(如yanick fratantonio )反复认为该错误被夸大了。 要利用这个漏洞，需要大多数客户不会遇到的非常特殊的情况。

保持操作系统最新仍然是个好习性。 虽然可能没有必要太着急，但是必须更新运行pi或debian的linux计算机。 可以在安全跟踪页面中查看sudo bug的状态。

本文：《“在最新的Debian补丁中修复了导致客户根访问权限的Sudo错误”》