Закрыта уязвимость в важнейшем инструменте администрирования в Linux, Unix и Mac OS X. Вам нужно как можно быстрее обновить системы.

Пользователи и системные администраторы Linux и Mac OS X, а задолго до этого и Unix, использовали и используют sudo как важный инструмент управления компьютером. С его помощью пользователи получают возможность производить существенные, а иногда и опасные изменения в системах. Недавно в sudo была обнаружена серьезная уязвимость. В некоторых сетях эта дыра в безопасности позволяла хакерам получить неограниченный доступ к системам на базе Linux, Mac OS X и Unix. К счастью, проблема устранена.

Команда Sudo, которую постоянно используют системные операторы, существует почти столько же, сколько и Unix. Люди часто воспринимают sudo как “я суперпользователь, сделай это” (sudo — superuser do). Действительно, чаще всего sudo применяется обычными пользователями для выполнения отдельных команд таким образом, как если бы их выполнял “суперпользователь” (root). На самом деле “sudo” означает “substitute user identity and do” (заменить удостоверение пользователя и выполнить). Чаще всего обычные пользователи применяют sudo, когда нужно управлять веб-сервером или базой данных с помощью соответствующей управляющей учетной записи.

Идея sudo состоит в том, чтобы обезопасить пользователей во время обычной работы от ошибочных изменений в системе или основных сервисах. Разумеется, любая проблема с sudo может легко привести к взлому с эскалацией привилегий. Если вы можете взломать sudo, вы можете сделать с системой всё, что угодно.

Несмотря на мощность sudo, все же лучше использовать этот инструмент, чем предоставлять пользователям возможность постоянно работать с учетной записью root (верный способ попасть в неприятности).

Годы, десятки лет проблем с sudo почти не было. Но недавно была обнаружена уязвимость в системах, одновременно работающих в сетях IPv4 и IPv6 (которые становятся все более распространенными) при использовании конфигурационного файла sudoers. Если доступ предоставлялся с помощью маски сети, при обработке неправильного адреса сети в формате IPv4, процедура верификации могла ошибочно начать обработку данного адреса так, как будто он в формате IPv6… и в этом случае пользователь успешно проходил верификацию.

Проблема существовала в sudo с версии 1.6.9p3 по 1.8.4p4. Системные администраторы должны обновить версию до 1.8.4p5 (или старше) как можно быстрее.

Для эксплуатации уязвимости, учетная запись потенциального злоумышленника должна была присутствовать в файле sudoers (или данных sudoers в LDAP) и иметь разрешение на выполнение команд на хостах в одной или нескольких сетях IPv4. Уязвимостью невозможно воспользоваться, если не используется IP-адрес сети в правилах sudoers. Поэтому, если по каким-то причинам вы не можете обновить sudo, удалите IP-адреса сетей из правил sudoers и вы заблокируете возможность использования уязвимости.

Насколько я знаю, никто не воспользовался этой уязвимостью. Тем не менее, любая уязвимость, которая потенциально предоставляет пользователям неограниченную власть над системой, должна восприниматься серьезно и устраняться как можно быстрее.

Версия для печати