- Две ошибки были введены только в конце 2013 года
- Вы живете в программе утилиты командной строки Sudo
- Плата доступны, и пользователям рекомендуется их использовать
Недавно в различных распределениях Linux были обнаружены две слабые точки, которые позволяют местным злоумышленникам обострить свои привилегии и, таким образом, выполнять произвольные файлы.
Уязвимости осуществляются в качестве CVE-2025-32462 (тяжесть 2,8/10-го низкого уровня) и CVE-2025-32463 (тяжесть 9.3/10 критически) и были обнаружены в службе командной линии SUDO для Linux и других операционных систем, подобных UNIX.
Все версии до 1 сентября. 17p1 должны быть уязвимыми, с Рич Мирч, исследователем Straascale, который нашел недостатки, и сказали, что они задерживаются более десяти лет, прежде чем они были обнаружены. Они были представлены впервые в конце 2013 года, добавил он.
Десятилетняя ошибка
Sudo (короткий для «Superuser do») — это команда, с которой разрешенный пользователь может выполнять команду в качестве постоянного пользователя или другого пользователя, как определено в Руководстве по безопасности системы. Он предлагает контролируемый административный доступ без необходимости зарегистрироваться в качестве обычной учетной записи.
Например, пользователь может выполнить команду SUDO, которую Firefox устанавливает на Ubuntu, поскольку установка программных систем обычно требует административных разрешений.
«Это в первую очередь влияет на веб -сайты, которые используют общий файл Sudoers, который распространяется на несколько машин», — сказал Тодд С. Миллер, руководитель проекта Sudo. «Веб-сайты, которые используют Sudoers на основе LDAP (включая SSSD), находятся также под влиянием».
Патч для Sudo был опубликован в конце июня 2024 года после ответственного раскрытия, которое произошло в начале апреля.
Кроме того, различные распределения Linux также опубликовали информацию, которая исправила ошибку для их варианта операционной системы. Для CVE-2025-32462 это включает в себя Almalinux 8, Almalinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, Suse и Ubuntu, в то время как для CVE 2025-32463, вы альпин Linux, Amazon Linux, Debian, Gentoo, и Ubuntu, и Ubunt Ubuntu, и Ubuntu, и Ubuntu, и Ubuntu, и Ubuntu, и Ubuntu, а и Ubuntu, Ubuntu, Ubuntu, Ubuntu, Ubuntu, а также Ubuntu, Ubuntu, Ubuntu и Ubuntu.
Пользователям Linux рекомендуется применять доступные исправления и убедиться, что ваши дистрибутивы на рабочем столе Linux обычно обновляются.
Вы также могли бы понравиться
