Bug molto serio sul comando sudo su Ubuntu Linux
Ho appreso in queste ore che su Linux è stato scoperto un bug molto pericoloso su uno dei comandi più usati proprio per la gestione della sicurezza dei nostri sistemi ovvero il comando sudo. La vulnerabilità in sudo ( acronimo di Super User Do) permette di eseguire comandi come amministratore di sistema su distribuzioni GNU/Linux. La falla verificale qui CVE-2019-14287 è stata scoperta da Joe Vennix di Apple Information Security e consente ad un utente non superuser l’esecuzione di codice arbitrario come root.
Il bug riguarda tutte le release di sudo precedenti alla 1.8.28 ma non impatta tutte le versione di linux. Ho provato il bug su una Debian 3.16.57-2 la cui versione sudo è inferiore alla 1.8.28 e non mi sembra ci siano problemi.
in ogni caso il comando per verificare il bug sarebbe:
sudo -u#-1 id -u
oppure
sudo -u#4294967295 id -u
E’ proprio lo user ID impostato a -1 o a 4294967295 che introduce il bug in quanto la funzione che converte l’ID utente nel suo nome utente tratta erroneamente -1 o il suo equivalente unsigned 4294967295, come 0, che è sempre l’ID utente dell’utente root.
In ogni caso una configurazione adeguata del file suoers dovrebbe limitare il bug, mal’aggiornamento di sudo all’ultima release disponibile è caldamente consigliato.
Canonical ha già rilasciato un fix urgente per il pacchetto sudo. Le versioni di Ubuntu che hanno già ricevuto l’update sono Ubuntu 16.04 LTS, 18.04 LTS, 19.04 e 19.10. Per aggiornare è necessario dare il seguente comando:
sudo apt upgrade
Sono amante della tecnologia e delle tante sfumature del mondo IT, ho partecipato, sin dai primi anni di università ad importanti progetti in ambito Internet proseguendo, negli anni, allo startup, sviluppo e direzione di diverse aziende; Nei primi anni di carriera ho lavorato come consulente nel mondo dell’IT italiano, partecipando attivamente a progetti nazionali ed internazionali per realtà quali Ericsson, Telecom, Tin.it, Accenture, Tiscali, CNR. Dal 2010 mi occupo di startup mediante una delle mie società techintouch S.r.l che grazie alla collaborazione con la Digital Magics SpA, di cui sono Partner la Campania, mi occupo di supportare ed accelerare aziende del territorio .
Attualmente ricopro le cariche di :
– CTO MareGroup
– CTO Innoida
– Co-CEO in Techintouch s.r.l.
– Board member in StepFund GP SA
Manager ed imprenditore dal 2000 sono stato,
CEO e founder di Eclettica S.r.l. , Società specializzata in sviluppo software e System Integration
Partner per la Campania di Digital Magics S.p.A.
CTO e co-founder di Nexsoft S.p.A, società specializzata nella Consulenza di Servizi in ambito Informatico e sviluppo di soluzioni di System Integration, CTO della ITsys S.r.l. Società specializzata nella gestione di sistemi IT per la quale ho partecipato attivamente alla fase di startup.
Sognatore da sempre, curioso di novità ed alla ricerca di “nuovi mondi da esplorare“.
Comments