在Sudo的get_process_ttyname()中,在linux命令中发现了一个漏洞。 此函数打开“/ proc / [pid] / stat”(man proc),并从字段7(tty_nr)读取tty的设备号。 不幸的是,这些字段是空格分隔的,字段2(comm,命令的文件名)可以包含空格( CVE-2017-1000367 )。
怎么修?
此漏洞影响了大多数Linux操作系统。 建议您在Linux系统上立即更新sudo包,以解决此漏洞。
Debian Based Systems: $ sudo apt update $ sudo apt install sudo Redhat Based Systems: $ sudo yum install sudo Fedora 22+ Systems: $ sudo dnf install sudo
参考文献:有关CVE-2017-1000367漏洞的更多详细信息,请访问以下内容。
https://www.sudo.ws/alerts/linux_tty.html
http://www.openwall.com/lists/oss-security/2017/05/30/16
https://access.redhat.com/security/vulnerabilities/3059071
分享到Facebook 分享
0
分享到Twitter
0
分享到Google Plus Share
0
分享到Pinterest 分享
0
分享到Linkedin Share
0
分享到Digg 分享
