首页 > 见闻 > 关键词  > Linux最新资讯  > 正文

Linux的Sudo存在安全漏洞 攻击者可运行root命令

2019-10-15 14:16 · 稿源:站长之家

病毒、代码 (4)

站长之家(ChinaZ.com) 10月15日 消息:engadget消息,如果您在Linux或基于Unix的平台(如macOS)中使用过命令行,那么可能熟悉“sudo”命令。作为一个系统命令,Sudo允许用户以特殊权限来运行任务,而无需切换使用环境通常以 root 用户身份运行命令。

目前,开发人员修复了sudo存在的一个安全漏洞,该漏洞即便配置中明确禁止 root 用户访问,仍可允许恶意用户或程序在目标 Linux 系统上以 root 用户身份进行访问。只要攻击者有足够的权限运行sudo,他们就可以在目标设备机器上执行任何操作。

当攻击者键入的命令用的是 user ID- 1 或 4294967295,那么将视为攻击者拥有root 权限(user ID 0)。密码数据库中也不存在有问题的user ID,因此该命令不需要密码即可使用。

目前,Linux用户可以更新到1.8.28 Sudo 版本或更高版本来修复该漏洞。

举报

  • 相关推荐
  • 大家在看
  • 首次使用EUV工艺 Intel “4nm”酷睿点亮:成功运行Win/Linux/Chrome三大系统

    根据Intel的计划,在2025年前的4年时间里他们要连续推出5代CPU工艺,2022年下半年量产的就是Intel 4工艺这个对标台积电、三星4nm的工艺是Intel首次使用EUV工艺,明年的14代酷睿Meteor Lake处理器将首发。现在Intel CCG客户端计算事业部执行副总裁兼总经理Michelle Johnston Holthaus透露了一个好消息,那就是Meteor Lake处理器已经成功点亮,并且成功运行了Windows、Linux 和 Chrome OS三种操作系统。能够运行系统意味着Meteor Lake处理器的流片测试还不错,成熟度相当可以了,后续继续测试验证,14代酷睿在2023年年中发布还是可以期待的?

  • Linus Torvalds对NTFS3 Linux驱动无人维护的情况发表评论

    正如本周早些时候所写的,人们对"新的"NTFS Linux驱动程序提出了担忧,因为它在被纳入主流不到一年的时间里实际上就没有得到维护。此后,Linus Torvalds对此事发表了评论,并为其他开发者维护它的想法加油鼓劲。自从该驱动去年在Linux 5.15中最终被主线化以来,还没有任何重大的错误修复被送入驱动。该驱动最初是由Paragon软件公司开发的专有驱动,去年在Paragon的Git树上看到了一些修复,但从未提交给主线。其他开发者试图联系NTFS3的维护者,但都没有成功。因此引发了本周关于这个NTFS开源Linux驱动的公开讨论,该驱动提供了读/写支持和

  • 遭弃用的Docker Desktop放大招:宣布支持Linux

    想使用 Desktop for Linux 的用户可访问Docker docs(https://docs.docker.com/desktop/linux/)以查看相关说明...Docker Desktop for Linux 的近期计划包括使安装和更新过程尽可能无缝,例如使用一个命令安装,如 apt-get install docker-desktop......

  • AMD正在为Linux准备Zen 4 IBS扩展补丁

    Phoronix 指出,随着新补丁提交审查,意味着 Zen 4 处理器的 Linux 支持正在稳步推进...● 该操作会丢弃 L3 未命中的样本,并使用随机值重置计数器 —— 对于获取性能性能监测单元(fetch pmu)是 1-15 之间,操作性能监测单元(op pmu)则是 1-127 之间...● 此外通过新添加的 l3missonly 性能监测单元属性,得以让 IBS 驱动程序支持对 L3 未命中过滤功能的支持......

  • Asahi Linux致力于将M1 Mac NVMe驱动支持并入Linux 5.19主线内核

    好消息是,负责该驱动程序的 Asahi Linux 已在邮件公告列表中进行了披露,并致力于让它在即将到来的 Linux 5.19 合并窗口中被引入...如果一切顺利,Linux 5.19 有望于 7 月正式发布...赶在本月晚些时候的 Linux 5.19 合并窗口开启之前,这部分 SoC 驱动程序将被并入主线...后续开发团队将致力于搞定音频 / 麦克风等连接选项,不过横亘在他们面前的一个最大阻碍,还是缺乏对图形加速的适当支持......

  • 去年合并的"新"NTFS Linux驱动因缺乏维护再度引起关注

    早在2020年,文件系统驱动供应商Paragon软件公司宣布,他们想把他们的NTFS驱动上传到Linux内核。该驱动之前是该公司的商业产品,但考虑到NTFS如今的状况,他们希望将这个驱动上游化,提供完整的读写支持和其他现有NTFS驱动中没有的功能。去年,在经历了多轮审查之后,新驱动程序终于被并入了Linux 5.15。可悲的是,在不到一年的时间里,人们担心这个驱动程序已经成为了孤儿,并且没有得到维护。 虽然Paragon软件公司在向上游提交驱动时承诺维护该驱动,但自从去年它进入Linux 5.15后,就没有任何重大的更新,甚至从那时起,各种修复请求都

  • 谷歌Flutter 3 增加对 macOS 和 Linux 应用的支持

    自Flutter1.0Beta版发布以来的四年间,Flutter逐渐发展,增加了新的框架功能和新的widget,与底层平台进行了更深入的整合,还加入了丰富的package库,此外还进行了许多性能和工具等方面的改进...Flutter以前的版本已经在iOS和Android平台之外增加了web端和Windows平台的支持,现在,Flutter3增加了对macOS和Linux应用的支持......

  • 白宫牵头与OpenSSF和Linux基金会一道保障开源软件安

    确保开源软件供应链的安全是一件大事。去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性。这是在ColonialPipeline勒索软件攻击关闭了整个东南部的天然气和石油运输以及SolarWinds软件供应链攻击之后发生的。确保软件安全成为重中之重。作为回应,开源安全基金会(OpenSSF)和Linux基金会起来迎接这一安全挑战。现在,他们呼吁在两年内提供1.5亿美元的资金,以修复十个主要的开源安全问题。美国政府将不会为这些变化支付费用。亚马逊、爱立信、Google、英特尔、微软和VMWare已经认捐了3000万美元。更多的厂商已经开始行动,例?

  • Linux Lite 6.0 RC1发布 Google Chrome成为默认网络浏览器

    Ubuntu 22.04已经发布,我们将开始看到随后那些基于Canonical操作系统的所有Linux发行版的更新。例如,基于Ubuntu22.04的Linux Lite 6.0的第一个候选版本现在已经推出,LinuxLite在那些从微软Windows转到Linux的人中非常受欢迎。Linux Lite 6.0 RC1的显著特点是抛弃了Mozilla Firefox作为默认网络浏览器,而改用Goole Chrome 100。该操作系统目前使用Linux内核5.15.0-25和桌面环境Xfce 4.16.3。它预装了一些优秀的软件,如GIMP 2.10.30、雷鸟91.7.0、VLC 3.0.16和LibreOffice 7.2.6.2。"这个系列的主题是包容和新鲜。最新的浏览器,最新的

  • Linux 5.18-rc6发布 Torvalds评价称其看起来 "相当乖巧"

    Linus Torvalds刚刚发布了Linux 5.18-rc6,作为最新的每周候选发布版本,预计在5月下旬发布Linux 5.18稳定版。 Torvalds对新的Linux 5.18-rc6测试候选版总结如下:5.18看起来将是提交数量较大的版本之一(我们将看到它的最终结果--它现在将与5.14并驾齐驱,但不会像5.13那样大)。但是,尽管合并窗口很大,候选发布版本的规模一般都很适中,RC6也延续了这种趋势。我一直期待着“第二只靴子”会落地,但是5.18似乎表现得“相当乖巧”。 rc6看起来主要是引入了一些驱动程序的更新(网络驱动程序和rdma比较突出,其他地方有一些小的随机修复?

今日大家都在搜的词: