不用密码就能获取root权限?Sudo被曝新漏洞
“新的漏洞通告发了!快喊运维去打补丁。” 运维: 虽然运维惨兮兮,但“这可能是近期内最需要重视的sudo漏洞。”因为这次的Sudo漏洞CVE-2021-3156能够允许任何本地用户不需要身份验证就可以获得root权限。 任何本地用户都可以获取root权限 Sudo是一个Unix程序,可以让系统管理员为sudoers文件中列出的普通用户提供有限的root权限,同时保留其活动日志。它按照“最小特权原则”工作,在该原则下,该程序仅授予人们足够完成工作的权限,而不会损害系统的整体安全。 当在类似Unix的OS上执行命令时,非特权用户如果具有权限或知道超级用户的密码,就可以使用sudo命令来执行root权限命令。通过将sudoers配置文件包括在内,还可以将Sudo设置为允许普通用户像其他任何超级用户一样运行命令。 Qualys的安全研究人员发现了名为“Baron Samedit”(CVE-2021-3156)的Sudo提权漏洞,该漏洞研究人员于1月13日披露了此漏洞,并确保在公开发现内容之前先发布补丁程序。 Qualys研究人员认为,此问题是任何本地用户(普通用户和系统用户,无论是否在sudo...
