Sudo ipa_hostname 权限提升漏洞-低调大师

Sudo ipa_hostname 权限提升漏洞

2023-12-26 382

漏洞描述

Sudo 是一款使用于类Unix系统的，允许用户通过安全的方式使用特殊的权限执行命令的程序。SSSD是一个用于提供身份验证和授权服务的守护程序。

受影响版本中，由于在 /etc/sssd/sssd.conf 中读取 ipa_hostname 后，在初始化 sudoers 解析树时未初始化 ipa_hostname，攻击者可能能够利用这一漏洞，使得在应用程序中客户端主机在权限被撤销之后仍然保留了某些特权。

漏洞名称	Sudo ipa_hostname 权限提升漏洞
漏洞类型	权限管理不当
发现时间	2023-12-24
漏洞影响广度	广
MPS编号	MPS-7zoc-5nsw
CVE编号	CVE-2023-7090
CNVD编号	-

影响范围

sudo@[1.8.24, 1.8.28)

sudo@(-∞, 1.8.28p1-1)

修复方案

将组件 sudo 升级至 1.8.28 及以上版本

将组件 sudo 升级至 1.8.28p1-1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-7zoc-5nsw

https://nvd.nist.gov/vuln/detail/CVE-2023-7090

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/272738

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Xmake v2.8.6 发布，新的打包插件：XPack

Xmake是一个基于 Lua 的轻量级跨平台构建工具。它非常的轻量，没有任何依赖，因为它内置了 Lua 运行时。它使用 xmake.lua 维护项目构建，相比 makefile/CMakeLists.txt，配置语法更加简洁直观，对新手非常友好，短时间内就能快速入门，能够让用户把更多的精力集中在实际的项目开发上。我们能够使用它像 Make/Ninja 那样可以直接编译项目，也可以像 CMake/Meson 那样生成工程文件，另外它还有内置的包管理系统来帮助用户解决 C/C++ 依赖库的集成使用问题。目前，Xmake 主要用于 C/C++ 项目的构建，但是同时也支持其他 native 语言的构建，可以实现跟 C/C++ 进行混合编译，同时编译速度也是非常的快，可以跟 Ninja 持平。 Xmake = Build backend + Project Generator + Package Manager + [Remote|Distributed] Build + Cache 尽管不是很准确，但我们还是可以把 Xmake 按下面的方式来理解： Xmake ≈ Make/...

2023-12-26

315

漏洞描述 Sudo 是一款使用于类Unix系统的，允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo 1.9.15 之前的版本存在绕过认证或特权升级漏洞，由于应用程序逻辑基于不等于错误值执行某些操作，而非成功值，攻击者可能利用该实现欺骗系统，从而获取未授权的特权或执行特权操作。并且这些数值可能会因为硬件问题而发生意外改变导致Rowhammer攻击，从而导致认证绕过或特权升级。漏洞名称 Sudo <1.9.15 故障注入导致权限提升漏洞漏洞类型非预期数据类型处理不恰当发现时间 2023-12-23 漏洞影响广度广 MPS编号 MPS-03xh-sirc CVE编号 CVE-2023-42465 CNVD编号 - 影响范围 sudo@(-∞, 1.9.15) sudo@(-∞, 1.9.15p2-2) 修复方案将组件 sudo 升级至 1.9.15p2-2 及以上版本将组件 sudo 升级至 1.9.15 及以上版本参考链接 https://www.oscs1024.com/hd/MPS-03xh-sirc https://nvd.nist.gov/vul...

2023-12-26

417

资源下载

更多资源

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。