整理 | 鄭麗媛
出品 | CSDN(ID:CSDNnews)
前一陣 Sudo 隱藏了 10 年的漏洞終于被發現:任何本地用戶無需密碼就可以獲取 root 權限,相較于先前發現的兩個漏洞,這個漏洞危險性極高,不過好算是在釀成大禍之前被發現,同時 Sudo 官方也提供了解決方案:版本升級至 1.9.5p2 或更高版本(下載地址為:https://www.sudo.ws/stable.html),
由于發現并詳析該漏洞的云安全和合規解決方案公司 Qualys 在報告中指出,CVE-2021-3156 (該漏洞的編號)影響范圍是:絕大多數 Linux 和 BSD 系統(Berkeley Software Distribution,Unix 的衍生系統),因此可想而知及時更新 Sudo 版本的大部分也是這些系統的用戶,
然而,昨天 Hacker House 的聯合創始人 Matthew Hickey 在推特上指出:最新版本的 macOS 也存在 CVE-2021-3156,并且還未修復!
漏洞確實存在,但蘋果不予置評
Matthew Hickey 指出,他已確認 CVE-2021-3156 漏洞,并發現經過一定修改后,可以利用該漏洞授予攻擊者訪問 macOS root 賬戶的權限,
他表示:“要想觸發這個漏洞,只要覆寫 argv[0] 或創建一個符號鏈接,作業系統就會暴露在上個禮拜就困擾著 Linux 用戶的本地 root 漏洞,”
Matthew Hickey 的發現也得到了當今領先的 macOS 安全專家之一 Patrick Wardle 的私下驗證,并已向外媒 ZDNet 證實漏洞確實存在:
macOS(包括最新的 11.2 版本)似乎也會受到 Sudo CVE-2021-3156 漏洞影響,
隨后,這一事實由卡內基梅隆大學 CERT 協調中心的漏洞分析師 Will Dormann 公開發布:
可以在 x86_64 和 aarch64 上使用 macOS Big Sur 進行確認,
此外,Matthew Hickey 還表示,即使更新了蘋果在周一發布的安全補丁后,該漏洞還是可能在最新版本的 macOS 中被利用,
因此,有研究人員向蘋果反映了這個問題,但蘋果在調查該報告時卻不予置評,不過鑒于這個漏洞的嚴重性,蘋果還是有很大可能為此發布補丁,
該漏洞也會影響 IBM AIX 系統
在 Matthew Hickey 揭露 macOS 會受到 CVE-2021-3156 漏洞影響時,多位網友也對此進行了測驗,其中 @ astr0baby 提到,IBM AIX 系統也會被該漏洞利用:
由此見得,這次發現的 Sudo 漏洞波及范圍極廣,在有解決方案的情況下,大家請盡快修復該漏洞,
參考鏈接:
https://www.zdnet.com/article/recent-root-giving-sudo-bug-also-impacts-macos/
https://twitter.com/hackerfantastic/status/1356645638151303169
https://twitter.com/wdormann/status/1356666586371936258
程式員如何避免陷入“內卷”、選擇什么技術最有前景,中國開發者現狀與技術趨勢究竟是什么樣?快來參與「2020 中國開發者大調查」,更有豐富獎品送不停!
?騰訊、位元組跳動展開拉鋸戰;網易云音樂稱酷狗抄襲;谷歌不再開發云游戲 | 極客頭條
?估值飆至 280 億美元,Databricks G 輪融資 10 億美元,誰說開源不掙錢?
?開源 = 打破商業壟斷?
?三年已投 1000 億打造的達摩院,何以仗劍走天涯?
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/256846.html
標籤:其他