_{Фото: Paul Harrison/Flickr}

Специалист компании Apple Джо Венникс рассказал об уязвимости (CVE-2019-14287) в команде sudo в Linux. Она позволяет непривилегированным пользователям запускать команды с правами суперпользователя.

Однако данная проблема возникает лишь при нестандартных настройках конфигурации и не затрагивает большинство Linux-серверов.

Команда sudo дает возможность непривилегированным пользователям с соответствующим разрешением или паролем суперпользователя выполнять на Linux-машинах команды с его правами. При добавлении инструкций в конфигурационный файл /etc/sudoers систему можно настроить для запуска команд от имени другого пользователя, однако это невозможно в отношении суперпользователя. Именно при этих настройках конфигурации пользователи могут обойти ограничения и запускать команды с привилегиями суперпользователя, добавив в командную строку -u#-1, выяснил Венникс.

Исследователь по безопасности Нико Вайсман обнаружил уязвимость в Linux, способную, по его мнению, стать причиной серьёзных сбоев. Уязвимость использует сигналы Wi-Fi для атаки.

Эксперты компании Qualys обнаружили критическую уязвимость в утилите sudo. Злоумышленник может получить доступ с правами root, используя уязвимость CVE-2021-3156 под любым пользователем и без наличия записи в файле /etc/sudoers. Уязвимость можно применять для повышения привилегий в системе в непривилегированном процессе.

Уязвимость в sudo воспроизведена пользователем в последней версии macOS с поддержкой 32-битных приложений (macOS Mojave 10.14.6).

Эксперты из Hacker House выяснили, что многолетнюю уязвимость CVE-2021-3156 можно использовать для повышения привилегий в macOS, включая Big Sur 11.2, в которой есть sudo. Apple еще не выпустила патч, но в компании в курсе проблемы.

Чтобы использовать уязвимость в macOS Big Sur и вызвать ошибку в sudo, нужно перезаписать argv[0] или создать символическую ссылку, которая подвергнет ОС локальной root-уязвимости.

9 февраля 2021 года Apple выпустила обновления безопасности для macOS Big Sur, Catalina и Mojave. Эти патчи исправляют критическую уязвимость с превышением полномочий в sudo.

Специалисты ИБ Матье Баржоль и Виктор Кутильяс из Synacktiv обнаружили критическую уязвимость в утилите sudo, позволяющую локальному пользователю без административных привилегий добиться получения прав root в системе.

В этом топике я расскажу как установить и настроить Apache2 + PHP5 + MySQL + virtual hosts + xdebug, а также XDebug в Eclipse+PDT.

Преамбула

Сегодня вечером, находясь уже в несколько напряженном, после рабочего дня, состоянии, мне пришлось поработать. Вспомнив о том, что я еще не перенастроил исполнение Zend Studio через свежеустановленную Java 1.6.0_05 решил это сразу и сделать для повышения производительности оного.

Для этого надо было отредактировать bat-файл, запускающий Zend Studio. Файл лежит в подпапке студии в директории C:\Program Files. Естественно, права на запись имеет только суперадмин (administrator). Как легко отредактировать этот файл?

Статья для тех кто не знает.

Разработчики Ubuntu решили что системе пользователь root не нужен. Вместо этого нужно использовать sudo с паролем к текущему акаунту.
Из-за этого решения, чтобы использовать команду su, в консоли необходимо набрать:
sudo passwd
и задать пароль для пользователя root, тогда этот пароль можно использовать и для su

UPD (спасибо meako): А можно sudo su и получить терминал рута, с паролем текущего пользователя.
UPD (спасибо zloe_zlo): А можно написать sudo -i и стать суперюзером без su.

Недавно я обнаружил забавную штуку в программе sudo: программа может язвить и подкалывать, если неправильно вводить пароль. Я расскажу, как активировать эту возможность и дам несколько примеров, что именно sudo может сказать.

Для включения этого режима используйте команду:

sudo visudo

(всегда используйте visudo для редактирования файла sudoers).

Найдите строку, начинающуюся с Default и добавьте insults в конце (все добавления в этой строке через запятую). Получится что-то типа такого:

Defaults !lecture,tty_tickets,!fqdn,insults

Сохраните файл. В следующий раз, когда вы неправильно введете пароль для sudo, программа не упустит возможность вас подколоть.

Заметка: для очистки сессии sudo, чтобы вновь потребовалось введение пароля, используйте:

sudo -K

Несколько примеров:

Maybe if you used more than just two fingers…

I have been called worse.

Listen, burrito brains, I don’t have time to listen to this trash.

Развлекайтесь :)

Перевод сделан для Linux в digg на русском

С давних времен многих смущает разнообразие вариантов обеспечения безопасности при выполнении операций с максимальными привилегиями. Например, в официальной документации Ubuntu в качестве команды редактирования рекомендуется использовать что-то вроде sudo nano, а в многочисленных любительских мануалах (в стиле «5 фокусов в командной строке, которые удивят вашу бабушку») для получения root'ового шелла предлагается писать sudo su -. Попробую объяснить, почему такое положение вещей кажется мне неправильным.

Иногда мы запускаем определенные приложения, которые могут быть потенциально небезопасны. Например firefox. Программа запущенная под правами локального пользователя может стать причиной раскрытия данных из его домашнего каталога. Сюда можно добавить горы небезопасных приложений запускаемых под Wine — например IE 5/6.

Damn Useful: When You Forget to type Sudo

 

Всем привет! Сегодня я завершаю цикл статей о внедрении OpenLDAP (раз, два, три, четыре), и расскажу о хранении sudoers в LDAP.

В дополнение к предыдущей заметке "Делаем файлы сценариев исполняемыми"...

В практике системного администратора иногда случается так, что начинаешь править какой-либо сценарий, автоматизирующий процесс резервного копирования, например, а в конце концов выясняется, что не хватает прав на запись в данный файл, который, возможно, принадлежит пользователю root. Чтобы не сильно изворачиваться в подобной ситуации, сохранение изменений производим командой

:w !sudo tee %

Вопросы безопасности в данном случае находятся в рамках sudo.

Бюро по патентам и торговым маркам США (United States Patent and Trademark Office) сообщило о патентном документе Microsoft под номером 7617530, в котором описывается метод запуска команд с правами администратора. Заявка вызвала волну возмущений в ИТ-сообществе.

Многие, в том числе руководительница интернет-портала Groklaw Памела Джонс, уверены, что компания просто переименовала команду sudo в Unix-системах. Эта технология была разработана в 80-х годах 20-го века сотрудниками Департамента компьютерных наук в Баффало. Microsoft просто хочет получать доход от лицензированной технологии sudo в своих операционных системах.

Предисловие

Недавно в гостях у друга увидел книгу Скотта Граннемана «Linux. Карманный справочник» и выпросил ее почитать. И хотя Linux уже два года красуется на моем компьютере, я далеко не в совершенстве знаю команды командной строки (извиняюсь за тавтологию).
Вообще то еще на третьем курсе университета у нас был курс Unix, который мне очень нравился, и на котором я смог оценить мощь и силу командной строки unix'подобных систем. К сожалению тогда у меня был только dialup, да и кодить приходилось в основном на Delphi, поэтому переход на Linux (Mandrake) не задался, а очень жаль.

В данной статье я проведу краткий экскурс в наиболее распространенные средства, связанные с безопасностью Linux. Информация предоставлена в сжатом виде, и если какое-то средство вас заинтересует, можно пройтись по ссылкам и прочитать более подробно. По заявкам пользователей некоторые механизмы можно будет рассмотреть более подробно в последующих статьях.

Будут рассмотрены следующие средства: POSIX ACL, sudo, chroot, PAM, SELinux, AppArmor, PolicyKit. Виртуализация, хотя и относится в какой-то мере к средствам безопасности, рассматриваться не будет, тем более что это отдельная обширная тема.

Содержание: Душераздирающая скорость роста auth.log на хостах с neutron-plugin-openvswitch-agent. Анализ причин, метод устранения. Немного про работу sudo, PAM и его сессии.



О чём пойдёт речь? Openstack — платформа для построения облаков. Neutron — название его подсистемы отвечающей за сеть, модной хипстерской вебдванольной, cчитающейся более совершенной и функциональной, чем первая попытка под названием nova-networking. openvswitch-plugin — это плагин к neutron, реализующий его функциональность при помощи Open vSwitch — программного коммутатора, позволяющего делать умные штуки, вроде GRE-туннелей, бондинга и мирроринга портов, наложение правил на порт внутри виртуального коммутатора в стиле iptables и т.д.

neutron-openvswitch-plugin-agent — одна из компонент этого плагина, работающая на всех хостах, которые имеют хоть какое-то реальное отношение к передаче сетевого трафика виртуалок. Иными словами, это все compute-узлы (там, где работают виртуалки), networking-узлы (которые делают «интернет» для виртуалок). Из списка выпадают только сервера API и прочие служебные сервера. С учётом, что большая часть облака состоит из compute + networking, можно, слегка огрубляя, говорить, что этот neutron-openvswitch-plugin-agent установлен на всех хостах. Logstash — система централизованной сборки логов, Elasticsearch — база данных для работы с этими логами.

Для своевременной реакции на проблемы ПО, все логи всех приложений должны собираться и анализироваться системой мониторинга. Подробнее про это у нас уже было написано. Однако, даже хорошего может быть слишком много. Быстро обнаружилось, что большая часть собираемого с хостов — нелепые сообщения следующего вида: