В программе sudo, предназначенной для делегирования привилегий пользователям с отслеживанием их работы, обнаружена критическая уязвимость, позволяющая выполнить произвольный код на системе.
Команда sudo используется во многих дистрибутивах Linux, в Mac OS X, а также в других системах, разработанных на основе UNIX.
Уязвимость появилась в версии 1.8.0, вместе с функционалом отладки. Этот функционал создавал различные сообщения, содержащие, например, имя запускаемой программы. Пользователь, который с помощью команды sudo запускал программу, содержащую в имени символическую ссылку, мог выполнить на системе произвольную команду с root-привилегиями.
Разработчики sudo исправили уязвимость в версии 1.8.3p2 и обновляют уже выпущенные релизы для AIX, Centos, Debian, HP-UX, RHEL, SUSE, Solaris, Tru 64 и Ubuntu.
© securitylab.ru