sudo 1.9.5

Опубликовано August@Karro - ср, 01/13/2021 - 17:12
sudo (дословно «подменить пользователя и выполнить») — программа для системного администрирования UNIX-систем, позволяющая делегировать те или иные привилегированные ресурсы пользователям с ведением протокола работы.

 Основная идея sudo — дать пользователям как можно меньше прав, при этом достаточных для решения поставленных задач. Программа поставляется для большинства UNIX и UNIX-подобных операционных систем. 

Команда sudo предоставляет возможность пользователям выполнять команды от имени суперпользователя root либо других пользователей. Правила, используемые sudo для принятия решения о предоставлении доступа, находятся в файле /etc/sudoers (для редактирования файла можно использовать специальный редактор visudo, запускаемый из командной строки без параметров, в том числе без указания пути к файлу); язык их написания и примеры использования подробно изложены в man sudoers. 

В новой версии устранено 6 проблем с безопасностью, из которых выделяются две уязвимости: 

  • CVE-2021-23240 - уязвимость в утилите sudoedit, применяемой для предоставления доступа к редактированию файлов, принадлежащих другим пользователям (в отличие от запуска редактора через sudo, утилита sudoedit запускает редактор без повышения привилегий и позволяет отредактировать копию файла с правами текущего пользователя, а потом заменить целевой файл и вернуть исходные параметры доступа).

    Уязвимость проявляется на системах с поддержкой SELinux RBAC и позволяет сменить владельца произвольного файла в системе на пользователя, которому принадлежит целевой файл, открытый для редактирования. Проблема вызвана состоянием гонки - пользователь может подменить доступный для редактирования временный файл на символическую ссылку в момент, когда редактирование завершено, но прежние права на целевой файл ещё не возвращены, после чего владелец будет изменён для файла, на который указывает символическая ссылка. В качестве обходного метода защиты достаточно включения режима /proc/sys/fs/protected_symlinks = 1.

  • CVE-2021-23239 - утечка информации при использовании утилиты sudoedit. Через манипуляцию c символическими ссылками можно определить существование каталогов в иерархии, к которой пользователь не имеет доступа.

В большинстве случаев грамотная настройка sudo делает небезопасную работу от имени суперпользователя ненужной.

 

Последние материалы