Chương trình sudo hoạt động trên nguyên tắc đặc quyền tối thiểu, cung cấp cho người dùng các quyền để phục vụ công việc mà không ảnh hưởng đến tính bảo mật của toàn hệ thống.
Khi thực thi các lệnh trên hệ điều hành Unix, người dùng thông thường có thể sử dụng sudo (superuser) để thực thi các lệnh với quyền root nếu họ có quyền hoặc biết được mật khẩu của người dùng root.
Sudo cũng có thể được cấu hình để cho phép người dùng thực thi các lệnh với vai trò người dùng khác bằng cách thêm các lệnh đặc biệt vào file cấu hình sudoer.
Lỗ hổng trong Sudo (CVE-2021-3156) được các nhà nghiên cứu của Qualys tiết lộ vào ngày 13/01/2021 và đã có bản vá trước khi bị công khai.
Đây là một lỗi tràn bộ đệm trong bộ nhớ heap, có thể bị khai thác bởi người dùng cục bộ. Kẻ tấn công không cần biết mật khẩu người dùng vẫn có thể khai thác thành công lỗ hổng.
Lỗ hổng tồn tại do Sudo thực hiện không chính xác việc unescape dấu “\” trong các đối số. Qua đó, Qualys đã tạo ra 3 mã khai thác để chỉ ra cách lỗ hổng có thể bị khai thác thành công.
Sử dụng các mã khai thác này, các nhà nghiên cứu có thể có được các đặc quyền root trên nhiều bản phân phối Linux, gồm có Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) và Fedora (Sudo 1.9.2). Các bản phân phối và hệ điều hành khác của Sudo cũng có thể bị khai thác bởi lỗ hổng này.
Để kiểm tra hệ thống của mình có tồn tại lỗ hổng này không, người dùng có thể truy cập với vai trò không phải người dùng root, chạy lệnh "sudoedit -s /". Hệ thống tồn tại lỗ hổng sẽ hiển thị báo lỗi bắt đầu bằng "sudoedit:", trong khi thông báo trên hệ thống đã được vá sẽ đầu bằng "usage:"
Quản trị viên hệ thống sử dụng Sudo để ủy quyền root đến người dùng cần nâng cấp lên sudo 1.9.5p2 hoặc cao hơn để phòng tránh rủi ro mất an toàn thông tin.
M.H
10:00 | 28/01/2021
09:00 | 26/01/2021
14:00 | 25/01/2021
08:00 | 12/07/2024
Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
09:00 | 10/06/2024
Ngày 08/6, trang web chia sẻ video nổi tiếng của Nhật Bản Niconico đã tạm dừng cung cấp các dịch vụ sau khi hứng chịu một cuộc tấn công mạng quy mô lớn.
11:00 | 29/05/2024
Nhóm tin tặc APT tới từ Triều Tiên có tên Kimsuky đã sử dụng một phần mềm độc hại trên Linux mới có tên Gomir để thực hiện các cuộc tấn công mạng vào các thực thể tại Hàn Quốc. Đây là phiên bản của backdoor GoBear được phân phối thông qua trình cài đặt phần mềm bị trojan hóa.
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
14:00 | 22/08/2024