Canonical anuncia correção para vulnerabilidade de segurança no comando ''sudo''


A Canonical emitiu para os usuários do Ubuntu uma atualização com correção para uma vulnerabilidade de segurança no comando "sudo". A correção crítica está disponível para todos aqueles usando o Ubuntu 16.04 LTS, 18.04 LTS, 19.04 e 19.10 (e também assume o Ubuntu 14.04 ESR). Para obter o update, você só precisa manter o seu sistema operacional atualizado.

Descoberta por Joe Vennix, a vulnerabilidade de segurança (CVE-2019-14287) poderia ser explorada por um invasor para executar comandos arbitrários como usuário root (administrador do sistema) porque o sudo manipulou incorretamente determinados IDs de usuário quando foi configurado para permitir que os usuários executassem comandos como um usuário arbitrário através da palavra-chave ALL em uma especificação Runas.

"Joe Vennix descobriu que o sudo, um programa projetado para fornecer privilégios limitados de superusuário a usuários específicos, quando configurado para permitir que um usuário execute comandos como um usuário arbitrário através da palavra-chave ALL em uma especificação Runas, permite executar comandos como root, especificando o ID de usuário -1 ou 4294967295", diz um relatório de segurança do Debian.

Em outras palavras: qualquer pessoa pode obter acesso root apenas especificando o ID de usuário “-1“. A atualização de segurança também deve chegar em outras distribuições Linux, então, você só precisa manter seu sistema operacional atualizado para obter a correção de segurança para o sudo.

Portanto, os usuários do Ubuntu 19.04 devem atualizar para o sudo 1.8.27-1ubuntu1.1, os do Ubuntu 18.04 LTS para o sudo 1.8.21p2-3ubuntu1.1, Ubuntu 16.04 LTS para o sudo 1.8.16-0ubuntu1.8, Ubuntu 14.04 ESM para sudo 1.8.9p5-1ubuntu1.5+esm2 e Ubuntu 12.04 ESM para sudo 1.8.3p1-1ubuntu3.8. Por outro lado, os usuários do Debian 9 "Stretch" para sudo 1.8.19p1-2.1+deb9u1 e Debian 10 "Buster" para o sudo 1.8.27-1+deb10u1.


FONTE: Softpedia
Comentários