Уязвимость в программе sudo: повышение привилегий в Unix, Linux и FreeBSD

Feb. 2nd, 2012 05:33 am
oio11: (Default)
[personal profile] oio11

Уязвимость в программе sudo: повышение привилегий в Unix, Linux и

FreeBSD

Довольно редкое событие: обнаружен баг в компонентах операционной системы Unix. За сорок лет своего существования эта система зарекомендовала себя как самая надёжная ОС, но даже в Unix можно найти изъян. Речь идёт о баге с форматной строкой в популярной программе sudo, что теоретически означает потенциальную уязвимость с повышением привилегий. Баг обнаружен в последних версиях 1.8.0 - 1.8.3p1.

Программа sudo позволяет делегировать те или иные ресурсы пользователям, предоставляя им возможность выполнять команды от имени суперпользователя root, либо других пользователей. Она поставляется для большинства Unix и Unix-подобных операционных систем.

Уязвимости подвержены версии 1.8.0 - 1.8.3p1. Причина в том, что год назад с выходом новой версии 1.8.0 была представлена поддержка более простого дебаггинга sudo_debug(). Но сейчас выяснилось, что при использовании функции sudo_debug() название программы (argv[0]) передаётся прямо в fprintf(). А поскольку название программы при вызове команды sudo может быть указано пользователем, который вызывает эту программу, то и возникает такая неприятная ситуация...
http://www.xakep.ru/post/58214/default.asp

Tags:
  • Add Memory
  • Share This Entry
(will be screened)
(will be screened if not validated)
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting

If you are unable to use this captcha for any reason, please contact us by email at support@dreamwidth.org

 
Links will be displayed as unclickable URLs to help prevent spam.

Profile

oio11: (Default)
oio11
Мой блог

April 2026

S M T W T F S
   12 34
567891011
12131415161718
19202122232425
2627282930  

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated May. 10th, 2026 05:14 pm
Powered by Dreamwidth Studios