Re: Attenzione bug in sudo

To: debian-italian@lists.debian.org
Subject: Re: Attenzione bug in sudo
From: Davide Prina <davide.prina@gmail.com>
Date: Wed, 16 Oct 2019 20:47:49 +0200
Message-id: <[🔎] 87e0f6a2-bc92-e2b4-5dbb-1a04eaa88d0e@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 2de4a394-4772-c29f-3a6d-85e929d03683@fastwebnet.it>
References: <[🔎] 2de4a394-4772-c29f-3a6d-85e929d03683@fastwebnet.it>

On 16/10/19 18:43, Portobello wrote:

Dicono che c'è un bug in sudo.

se vuoi vedere quali bug di sicurezza sono presenti su un pacchetto puoiguardare su security-tracker, per sudo l'indirizzo è il seguente:


https://security-tracker.debian.org/tracker/source-package/sudo

se vuoi vedere quali pacchetti che hai installato hanno bug di sicurezzae che livello sono, allora installa


# apt get install debsecan

tieni conto che:

1) debsecan è ritenuto non affidabile al 100% poiché non mantenutoaggiornato (almeno così avevo letto qualche tempo fa), quindi potrebbesegnalare dei falsi positivi o non segnalare dei veri negativi.

2) i bug di sicurezza spesso sono segnalati da terzi: persone che nonhanno nulla a che fare con lo sviluppo di quel software. Alle volte c'èdiscordanza tra quello che questi "terzi" reputano un bug di sicurezzarispetto alla visione di chi mantiene quel software, quindi potrebbeesserci un bug segnalato che viene rifiutato dai manutentori. Ad esempioun po' di tempo fa era stato segnalato un bug di sicurezza su unpacchetto perché permetteva di sapere quale utente avesse eseguito unadeterminata operazione (forse anche con che parametri), però imanutentori hanno detto che questa cosa era fuori scopo dal loroprogramma perché questa era una cosa che doveva essere gestita ad unlivello più alto e quindi non avrebbero fatto nulla in proposito.

3) un bug di sicurezza ha effetto sul tuo sistema solo dietro precisesituazioni: devi avere il pacchetto installato, magari devi averdeterminate configurazioni, magari devi usarlo in determinato modo, ...inoltre devi vedere quali sono i bug che possono essere sfruttatilocalmente o da remoto, ...Tutte queste condizioni possono far risultare che quel determinato bugnon ha nessun impatto sul tuo sistema o potrebbe essere critico.

4) installare apt-listbugs e debsecan permette di sapere quali bug sonostati trovati sui pacchetti che stai installando/aggiornando e quindiavvisarti di un possibile pericolo... avvisandoti anche se un pacchettoha un supporto di sicurezza momentaneamente limitato o momentaneamentenon attivo.

Cioè, se si usa l'utente -1 si possono acquisire i diritti di root.
Io ho provato sia con sudo che con su, ma mi dà sempre :

sudo -1
sudo: opzione non valida -- "1"

se la versione di Debian è ancora affetta, allora andando sul dettagliodel CVE-2019-14287 trovi questo link che ti spiega come sfruttare il bug


https://www.sudo.ws/alerts/minus_1_uid.html

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Client di posta: https://www.thunderbird.net
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

References:
- Attenzione bug in sudo
  - From: Portobello <c.portobello@fastwebnet.it>

Prev by Date: Re: sftp
Next by Date: Re: sftp
Previous by thread: Re: Attenzione bug in sudo
Next by thread: thunderbird
Index(es):
- Date
- Thread