10-летний баг sudo, позволяющий получить root-права, наконец пофиксили

10-летний баг sudo, позволяющий получить root-права, наконец пофиксили

10-летний баг sudo, позволяющий получить root-права, наконец пофиксили

Исследователи из компании Qualys сообщили о критической уязвимости переполнения буфера в sudo, которую злоумышленники могут использовать для получения контроля над Linux-хостом. Разработчики уже выпустили соответствующий патч, пользователям остаётся только установить его.

Программа sudo используется для администрирования UNIX-систем. С её помощью можно наделить того или иного пользователя повышенными правами или выполнить команды от имени root и других юзеров.

Баг, который нашли специалисты Qualys, получил идентификатор CVE-2021-3156. Его опасность заключается в том, что любой локальный пользователь может получить root-доступ на уязвимом хосте с конфигурацией по умолчанию.

Qualys решила раскрыть информацию об уязвимости, согласовав изначально это с разработчиками операционных систем. По словам исследователей, затронуты следующие версии sudo: с 1.8.2 по 1.8.31p2, с 1.9.0 по 1.9.5p1.

Эксперты Qualys даже написали несколько эксплойтов для отдельных дистрибутивов: Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) и Fedora 33 (sudo 1.9.2). Другие дистрибутивы также затронуты брешью, считают специалисты. К слову, разработчики Ubuntu и Red Hat уже опубликовали соответствующие патчи.

«"set_cmnd()" уязвима к переполнению буфера, поскольку находящиеся за границами символы, копируемые в буфер "user_args", не включаются в размер», — отмечается в отчёте (TXT) Qualys.

Также эксперты объяснили, что им удалось обойти защитный механизм ASLR, который предназначен для нейтрализации подобных эксплойтов. Самое интересное, что впервые об этом баге стало известно в июле 2011 года, однако его устранили лишь сейчас.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Школьницу обвинили в дропперстве и могут посадить на 3 года

В Красноярском крае возбуждено первое уголовное дело о дропперстве (соответствующий закон вступил в силу 5 июля). Обвинения в неправомерном обороте средств платежей выдвинуты против 16-летней школьницы из г. Назарово.

В поисках подработки девушка откликнулась на объявление в соцсети и согласилась за процент переводить по указанным реквизитам деньги, которые будут скидывать на ее банковскую карту. За несколько дней новоявленный дроп разбогатела таким образом на 1600 рублей.

Расследование было запущено по жалобе местной жительницы на кражу денег со счета. Как выяснилось, мошенники вывели их, используя данные карты школьницы из Назарово.

Уголовное дело открыто по признакам преступления, предусмотренного ч. 4 ст. 187 УК РФ (использование своих средств платежа для проведения неправомерных операций по указке другого лица из корыстных побуждений).

Несовершеннолетней ответчице грозит до трех лет лишения свободы. У нее забрали телефон на экспертизу и взяли обязательство о явке.

Согласно ч. 1 ст.20 УК РФ, лица, которым на момент совершения преступления исполнилось 16 лет, подлежат уголовной ответственности. Исключение составляют несовершеннолетние, действовавшие в состоянии невменяемости (те, кто не осознает общественную опасность своих действий либо страдает психическим расстройством).

В 2025 году число атак на российских детей и подростков, в том числе с целью вовлечения в криминальные схемы, заметно возросло. В качестве меры противодействия банкам запретили открывать счета несовершеннолетним без письменного согласия родителей или иных представителей их интересов (ч. 4 ст. 846 и ч. 5 ст. 26 ГК РФ).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru