起因:
sudo 的全稱是「superuserdo」,它是linux系統管理指令,允許使用者在不需要切換環境的前提下以其它使用者的許可權執行應用程式或命令,通常是以 root 使用者身份執行命令,以減少 root 使用者的登入和管理時間,同時提高安全性。該漏洞是 sudo安全策略繞過問題,可導致惡意使用者或程式在目標 linux 系統上以 root 身份執行任意命令,即使 「sudoers configuration」 明確禁止該 root訪問許可權也不例外。
漏洞詳情
這個漏洞的 cve 編號是cve-2019-14287,是由蘋果資訊保安部門的研究員 joe vennix 發現並分析的。與其說讓人恐慌,不如說讓人興趣盎然:它要求系統具有非標準配置。換句話說的,在預設情況下,linux 計算機並不易受侵略。然而,如果你的配置是這樣的:讓使用者以 root 許可權以外的其他使用者許可權執行命令,那麼可能就需要注意了:因為使用者可以通過命令列上的 –u#-1 繞過這個非 root限制。如果將 sudo配置為允許使用者通過runas 規範中的 all 關鍵字以任意使用者身份執行命令,則可以通過指定使用者 id為-1 或4294967295 以 root 使用者身份執行命令。只要runas 規範中最先列出 all 關鍵字,即使runas 規範明確禁止 root訪問許可權,那麼具有足夠的 sudo 許可權的而使用者即可以 root 身份執行命令。以這種方式執行的命令的日誌條目會把目標使用者列為 4294967295而非 root。另外,將不會為該命令執行 pam 會話模組。具體而言:利用該漏洞要求使用者具有 sudo 許可權,從而以任意使用者 id 執行命令。一般而言,這意味著使用者的 sudoers 條目在 runas 規範中具有特殊值 all。sudo 支援在 sudoers 策略允許的情況下,以使用者指定的名稱或使用者 id 執行命令。
公升級開始:
1.檢視最開始的版本為:[root@yunrong_test ~]# sudo --version
公升級sudo的版本
完成!!!
CentOS公升級sudo版本
1檢視sudo版本 3.解壓 tar zxvf sudo 1.9.2.tar.gzcd sudo 1.9.2 configure prefix usr libexecdir usr lib with secure path with all insults with env editor docdi...
公升級sudo版本,修復漏洞
更新ubuntu sudo版本 3.建立packages.gz包,裡面記錄了packs資料夾下面的軟體包資訊,包括依賴資訊。dpkg scanpackages data test dev null gzip data test packages.gz r 4.加本地源 cat etc apt sou...
版本公升級 Harbor版本公升級
本文只適用於harbor的版本大於v1.10.x到最新版本的公升級遷移,docker compose啟動的harbor。主要參考了官網的公升級指南,根據實際情況我稍微調整了下步驟。詳情請參考 此次測試是從版本v2.0.1公升級到v2.1.2 cd root wget2.解壓檔案到當前目錄 tar x...