Ubuntu: sistemata una vulnerabilità di Sudo

Canonical ha sistemato una vulnerabilità di Sudo presente in tutte le release di Ubuntu.

L’azienda più conosciuta del mondo nel settore Open Source ha pubblicato un avviso di sicurezza per informare gli utenti di Ubuntu riguardo il rilascio di una importante patch per Sudo.

Dando un’occhiata alla  Ubuntu Security Notice USN-3304-1, il problema adnava ad interessare Ubuntu 17.04 (Zesty Zapus), Ubuntu 16.10 (Yakkety Yak), Ubuntu 16.04 LTS (Xenial Xerus), e il meno recente Ubuntu 14.04 LTS (Trusty Tahr).
In realtà non solo loro, dato che anche tutte le derivate di Ubuntu erano coivolte nel problema, cominciando da Kubuntu, per arrivare a Xubuntu, facendo tutto il percorso completo, con passaggi obbligatori per Lubuntu e Ubuntu GNOME.

Patchata una vulnerabilità di Sudo per tutte le release Ubuntu

Ubuntu: sistemata una vulnerabilità di Sudo sudo 1024x576 TechNinja

La vulnerabilità è stata scovata all’interno di Sudo, dicevamo.
Sudo (nient’altro che l’abbreviazione dalla lingua inglese di super user do), è un software open-source realizzato in C per i sistemi operativi Unix e similari che, son una serie di vincoli, permette di eseguire altri programmi assumendo l’identità (e di conseguenza anche i privilegi) di altri utenti.

La falla permetteva ad un qualunque attacker in locale (fortunatamente non era possibile sfruttarla da remoto, cosa che ne ridimensiona la gravità) di sovrascrivere i file come se fosse l’amministratore di sistema. Sudo non effettuava correttamente il parse di /proc/[pid]/stat. Un hacker con accesso fisico alla macchina poteva sovrascrivere ogni tipo di file.

Questo software è di vitale importanza per i sistemi Unix, pertanto è consigliato, anzi sostanzialmente obbligatorio, aggiornare immediatamente il software all’ultima versione messa a disposizione da Canonical, dai repositories ufficiali di Ubuntu.
Sostanzialmente darà necessario aggiornare sudo e sudo-ldap alle versioni sotto indicate:

  • 1.8.19p1-1ubuntu1.1 su Ubuntu 17.04 Zesty Zapus;
  • 1.8.16-0ubuntu3.2 su Ubuntu 16.10 Yakkety Yak;
  • 1.8.16-0ubuntu1.4 su Ubuntu 16.04 LTS Xenial Xerus (LTS release);
  • 1.8.9p5-1ubuntu1.4 su Ubuntu 14.04 LTS Trusty Tahr (LTS release).