Vlákno názorů k článku
Chyba v sudo umožňuje navýšení práv, stačí jako UID nastavit -1 nebo 4294967295 od owny - V praxi je tato chyba zneužitelná jen v...

Článek je starý, nové názory již nelze přidávat.

15. 10. 2019 0:25

owny

V praxi je tato chyba zneužitelná jen v prostředích, kde se používá sudo k získání práv nějakého jiného uživatele kromě roota. Nebo se mýlím? Zajímalo by mě, jak běžný je takový setup.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 10. 2019 7:44

JVr

Nejen. Lze to zneužít i pokud neznáte heslo uživatele, za kterého jste přihlášeni. Tedy pokud útočník získá práva běžného uživatele, nezná jeho heslo, ale tento je uveden v sudoers, může útočník povýšit svá práva na roota.

Je to další vektor pro útočníky, jak poměrně snadno povýšit svá práva na roota. Má však určité podmínky (proto pravděpodobně není hodnocen 9+).

(viz https://access.redhat.com/security/cve/cve-2019-14287)
CVSS v3 Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity Impact High
Availability Impact High
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 10. 2019 9:31

null null (neregistrovaný)

Tak ale pokud se sudo nepoužívá - nejsou zaznamy v sudoers (jak píše tazatel) tak v sudoers uživatel nebude a běžný user, např. z nějaké konfigurace ftp, tam nebude už vůbec, ne?
15. 10. 2019, 09:33 editováno autorem komentáře
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
15. 10. 2019 21:25

Roman Belda

Nejsem si jist. Mam pristup na roota povolen, ale jen na nektere prikazy. Ale eskalovat si jakykoliv prikaz se mi nedari. Ve finale ani ten co mam povoleny. Ne nemam patch. :)

Komerční sdělení

Praktické tipy z UX: Od redesignu k optimalizaci výkonu

Vlákno názorů k článku Chyba v sudo umožňuje navýšení práv, stačí jako UID nastavit -1 nebo 4294967295 od owny - V praxi je tato chyba zneužitelná jen v...

Komerční sdělení

Praktické tipy z UX: Od redesignu k optimalizaci výkonu

Dále u nás najdete

Kdy a jak podat přiznání, aby vám přeplatek vrátili co nejdřív?

MeshCore je bezdrátová síť nejen pro mimořádné události

Irsko se po pauze znovu otevírá pro výstavbu datových center

Malware, ransomware a další online hrozby: Jak se liší?

JMHZ a změny v daních z příjmů v roce 2026 a 2027

Agentické nakupování mění pravidla e-commerce

Hackeři útočí přes e-mail, prahnou po přihlašovacích údajích

AI prolomila celou firemní infrastrukturu za 21 hodin

Pálení žáhy zhoršuje nevhodná večeře. Vadí přejídání i kafe

Nervózní Microsoft začal v ČR žehlit Trumpův chaos

Stát dá svobodu důchodcům, které držel ve III. pilíři

AI se snaží promlouvat i do stavebnictví

Strojové učení slibuje rychlejší a levnější vývoj baterií

Notepad++ opravil chybu zneužívanou k šíření malware

V čem se EET 2.0 liší od EET 1.0? Přinášíme velké srovnání

Deset kroků pro maximální zabezpečení Google účtu

Počet nových pracovních míst prudce klesá

Je tu první vydání magazínu CIOtrends v tomto roce

U dědečkova stavu našla smysl a teď oživuje unikátní tkaní

Z evropského koláče chytrých telefonů ukusují Apple a Honor

Vlákno názorů k článku
Chyba v sudo umožňuje navýšení práv, stačí jako UID nastavit -1 nebo 4294967295 od owny - V praxi je tato chyba zneužitelná jen v...