Новости и события » Hi-Tech » При портировании во FreeBSD утилиты doas, аналога sudo от OpenBSD, допущена опасная уязвимость

При портировании во FreeBSD утилиты doas, аналога sudo от OpenBSD, допущена опасная уязвимость

В дерево портов FreeBSD добавлена утилита doas, представляющая собой упрощенный аналог программы sudo, позволяющий выполнять команды от имени другого пользователя. Утилита развивается в недрах проекта OpenBSD в ответ на усложнение современных выпусков sudo, которые не отвечают требованиям OpenBSD по безопасности и зависимостям.

Портирование не обошлось без казуса - спустя несколько часов после публикации порта, в нем была обнаружена критическая уязвимость, позволяющая выполнить привилегированные операции, даже если был указан неверный пароль пользователя. Т.е. любой пользователь, указанный в секции "permit" в файле doas.conf может выполнить любые допустимые команды, указав любые символы в ответ на запрос пароля. Проблема была вызвана ошибкой в коде обработки отрицательного результата проверки пароля через PAM (при ошибке программа не завершала свою работу).

ИА «Newsmir.info». При использовании материала гиперссылка обязательна.


«МегаФон» начинает распродажу мобильного оборудования

«МегаФон» начинает распродажу мобильного оборудования

"МегаФон" начинает последнюю и в то же время самую большую распродажу своего мобильного оборудования. В салонах оператора можно будет увидеть скидки до 50% на отдельные модели смартфонов и планшетов. Распродажа затронет салоны подробнее ...

загрузка...

 

Вверх