Уязвимость CVE-2017-1000367 в пакете sudo операционных систем класса Linux позволяет пользователям, имеющим разрешение на запуск команд через sudo, перезаписывать любые файлы в системе от пользователя root.

Данная уязвимость присутствует в ОС, использующих SELinux, уязвимыми является большая часть последних релизов ОС. Приведенные ниже релизы (по сведениям производителей) имеют данную уязвимость:

  • Red Hat Enterprise Linux 6 (sudo)
  • Red Hat Enterprise Linux 7 (sudo)
  • Red Hat Enterprise Linux Server (v. 5 ELS) (sudo)
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle Enterprise Linux Server 5
  • CentOS Linux 6 (sudo)
  • CentOS Linux 7 (sudo)
  • Debian wheezy
  • Debian jessie
  • Debian stretch
  • Debian sid
  • Ubuntu 17.04
  • Ubuntu 16.10
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS
  • SUSE Linux Enterprise Software Development Kit 12-SP2
  • SUSE Linux Enterprise Server for Raspberry Pi 12-SP2
  • SUSE Linux Enterprise Server 12-SP2
  • SUSE Linux Enterprise Desktop 12-SP2
  • OpenSuse, Slackware, and Gentoo Linux

Уязвимыми являются все версии sudo ниже 1.8.20p1. В версии 1.8.20p1 и выше данная уязвимость устранена.

Превентивные меры:

  • Произвести сканирование ресурсов сети на предмет наличия уязвимости CVE-2017-1000367, предварительно обновив базы данных уязвимостей средства анализа защищенности. Необходимо учитывать, что в базы данных некоторых сканеров данная уязвимость может быть не включена на момент сканирования.
  • Произвести обновление пакетов sudo на ОС класса Linux до последней версии, не содержащей данную уязвимость. Обновление может быть установлено с помощью ключа update менеджера пакетов, используемого в ОС (при наличии подключения к репозиториям), либо вручную, загрузив пакет на сервер с использованием ssh и установив средствами менеджера пакетов.
  • Повторно произвести сканирование, убедившись, что уязвимость устранена на всех машинах.

Материалы по теме
  • Киберриски для детей в интернете. Как с ними бороться?

    Первое, что нужно сделать, предоставив компьютер и вход в интернет для самостоятельного пользования ребенку, - это установить родительский контроль и настроить безопасный поиск. Но даже это на 100% не устраняет возможность встречи юного пользователя с нежелательным контентом.

  • Истории из практики…Удаленный доступ

    Как правило, в рамках проведения своих проектов, мы встречаем удаленные подключения к внутренним ресурсам, организованные через VPN, использования Remote Desktop Gateway (RDP) или решение класса VDI (например, Ctirix XenApps).

  • Комплексный подход к организации удаленного доступа

    В современном мире недостаточно просто настроить VPN для удаленного подключения сотрудника к ресурсам компании.