Os desenvolvedores corrigiram uma falha crítica de segurança que afetava as versões 1.8.0 a 1.8.3p1 do sudo, utilitário para execução de comandos com privilégios superiores ao o usuário corrente usado extensivamente em diversos sistemas Unix e distribuições Linux.
Criado pela introdução de um modo debug que exibe mensagens detalhando sua execução para permitir testes avançados por administradores de sistemas, o bug se manifestava quando um atacante usava um link simbólico para o sudo com o nome de “%s” e o executava, causando um crash que, por meio de técnicas adicionais, pode dar privilégios de superusuário a usuários não autorizados.
A versão 1.8.3p2 corrige o problema, e já tem binários oficiais para AIX, Centos, Debian, HP-UX, RHEL, SUSE, Solaris, Tru 64 e Ubuntu. Correções para diversos sistemas e distribuições afetadas estão sendo providenciadas. Alguns dos sistemas que embarcam o sudo, como o Red Hat Enterprise Linux 4, 5 e 6 e o OS X 10.7 não foram afetados. (via h-online.com – “Security hole in Sudo’s debug option closed – The H Open Source: News and Features”)
0sem comentários ainda