Portál AbcLinuxu, 6. května 2024 03:58


Bezpečnostní chyba v sudo (CVE-2019-18634)

V příkazu sudo byla nalezena a ve verzi 1.8.31 opravena bezpečnostní chyba CVE-2019-18634. Chyba je zneužitelná k lokální eskalaci práv v případě, že v souboru /etc/sudoers je povolena volba pwfeedback.

4.2.2020 06:00 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

4.2.2020 17:55 Keson
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v sudo (CVE-2019-18634)
Odpovědět | Sbalit | Link | Blokovat | Admin
V Mintu je tato díra v sudu vyvrtaná přes /etc/sudoers.d/0pwfeedback, kde je přidán Defaults: pwfeedback
4.2.2020 22:10 biolog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v sudo (CVE-2019-18634)
Odpovědět | Sbalit | Link | Blokovat | Admin
Má někdo přehled, zda se něco aspoň vzdáleně podobného stalo ve Windows?

Koukám, že autoři suda mají na webu pěkný popis té chyby. Přičinou je špatná práce s céčkovými stringy. Autory by tedy za trest měli poslat na školení, jak v C správně používat stringy.
4.2.2020 22:33 _
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v sudo (CVE-2019-18634)
Odpovědět | Sbalit | Link | Blokovat | Admin
pwfeedback is the option to show asterisks as you are typing your password
4.2.2020 22:42 _
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v sudo (CVE-2019-18634)
A fakticky upraveno již v r. 2018 od verze 1.8.26 z 2018 ("While the logic bug is also present in sudo versions 1.8.26 through 1.8.30 it is not exploitable due to a change in EOF handling introduced in sudo 1.8.26")

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.