Canonical ha chiuso una vulnerabilità di Sudo in tutte le release Ubuntu.

L’azienda di Londra ha pubblicato un avviso di sicurezza per informare gli utenti di Ubuntu circa il rilascio di una importante patch per Sudo.

Stando alla  Ubuntu Security Notice USN-3304-1, il problema affliggeva Ubuntu 17.04 (Zesty Zapus), Ubuntu 16.10 (Yakkety Yak), Ubuntu 16.04 LTS (Xenial Xerus), e il meno recente Ubuntu 14.04 LTS (Trusty Tahr). Non è finita qui: anche tutte le derivate di Ubuntu sono coinvolte a partire da Kubuntu per passare a Xubuntu ma anche Lubuntu e Ubuntu GNOME, etc.

Patchata una vulnerabilità di Sudo in tutte le release di Ubuntu

sudo

La vulnerabilità è stata scovata in Sudo. Sudo (abbreviazione dalla lingua inglese di super user do), è un software open-source scritto in C per i sistemi operativi Unix e Unix-like che, con dei vincoli, permette di eseguire altri programmi assumendo l’identità (e di conseguenza anche i privilegi) di altri utenti.

La falla permetteva ad un local attacker (il fatto che non fosse possibile sfruttarla da remoto ne ridimensiona la gravità) di sovrascrivere i file come se fosse l’amministratore di sistema. “Sudo non effettuava correttamente il parse di /proc/[pid]/stat. Un hacker con accesso fisico alla macchina poteva sovrascrivere ogni tipo di file“.

Questo software è veramente molto importante per i sistemi Unix pertanto è consigliato aggiornare immediatamente il software all’ultima versione messa a disposizione da Canonical nei repositories ufficiali di Ubuntu. In altre parole dovete aggiornare sudo e sudo-ldap alla versione:

  • 1.8.19p1-1ubuntu1.1 su Ubuntu 17.04 Zesty Zapus;
  • 1.8.16-0ubuntu3.2 su Ubuntu 16.10 Yakkety Yak;
  • 1.8.16-0ubuntu1.4 su Ubuntu 16.04 LTS Xenial Xerus (LTS release);
  • 1.8.9p5-1ubuntu1.4 su Ubuntu 14.04 LTS Trusty Tahr (LTS release).

sharing-caring

Vi ricordiamo che seguirci è molto semplice: tramite la pagina Facebook ufficiale, tramite il nostro canale notizie Telegram e la nostra pagina Google Plus. Da oggi, poi, è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo!

Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.

  • Giuseppe De Rossi

    In che senso dobbiamo aggiornare ‘sudo’ e ‘sudo-ldap’ alla versione 1.8.x oppure 1.8.y oppure 1.8.z a seconda se siamo su Ubuntu aa, Ubuntu bb, o Ubuntu cc.. non basta aggiornare con ‘sudo apt update && sudo apt upgrade’ indipendentemente dalla versione di Ubuntu che abbiamo installato?

    • Fabio Pellico

      si si … per essere sicuro fai da terminale il comando: sudo -V

      ti darà la versione del tuo sudo

      • Giuseppe De Rossi

        ok grazie, è che l’articolo pare suggerire qualcosa di più complicato di quel che è in realtà

  • Vito Gambilonghi

    Versione di sudo: 1.8.19p1
    Versione 1.8.19p1 del plugin della politica sudoers
    Versione 45 della grammatica del file sudoers
    Sudoers I/O plugin version 1.8.19p1
    Questo nella mia versione 17.04. Sicuramente in uno degli ultimi aggiornamenti è stato aggiornato senza bisogno di ulteriore intervento.

  • Sudo sta per swicth user do non per super user do.

No more articles