Linux安全咨询 -  Linux中的Sudo漏洞[CVE-2017-1000367]

Sudo的get_process_ttyname()中,在linux命令中发现了一个漏洞。 此函数打开“/ proc / [pid] / stat”(man proc),并从字段7(tty_nr)读取tty的设备号。 不幸的是,这些字段是空格分隔的,字段2(comm,命令的文件名)可以包含空格( CVE-2017-1000367 )。

怎么修?

此漏洞影响了大多数Linux操作系统。 建议您在Linux系统上立即更新sudo包,以解决此漏洞。



 
  Debian Based Systems:
 
$ sudo apt update 
$ sudo apt install sudo


 
  Redhat Based Systems:
 
$ sudo yum install sudo 


 
  Fedora 22+ Systems:
 
$ sudo dnf install sudo 

参考文献:有关CVE-2017-1000367漏洞的更多详细信息,请访问以下内容。

https://www.sudo.ws/alerts/linux_tty.html
http://www.openwall.com/lists/oss-security/2017/05/30/16
https://access.redhat.com/security/vulnerabilities/3059071

分享到Facebook 分享
0
分享到Twitter
0
分享到Google Plus Share
0
分享到Pinterest 分享
0
分享到Linkedin Share
0
分享到Digg 分享
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏