Início » Antivírus e Segurança » Comando "sudo" usado no Linux e macOS tem falha de segurança

Comando "sudo" usado no Linux e macOS tem falha de segurança

Pesquisador da Apple descobriu que comando "sudo" permite acesso indevido como superusuário (root), mesmo sem senha

Felipe Ventura Por

Sistemas operacionais baseados no Unix, como o macOS e distribuições Linux, oferecem o comando "sudo" para abrir programas e executar tarefas com privilégios elevados. Um pesquisador da Apple descobriu uma vulnerabilidade nesse comando que permite acesso indevido como superusuário, mesmo se você não souber a senha. Felizmente, a falha é mais restrita do que parece e já foi corrigida.

Linux SUDO

Existem algumas tarefas em distribuições Linux que são restritas ao superusuário, chamado de "root" — por exemplo, instalar novos programas. Para fazer isso, é possível rodar o comando sudo no terminal, onde você terá que informar a senha.

Ao rodar o comando sudo, é possível inserir seu nome de usuário ou um código identificador chamado UID. Por exemplo, supondo que o usuariotb tenha o UID 1001, seria possível usar dois comandos diferentes para abrir o editor de texto Vim: "sudo -u usuariotb vim" ou "sudo -u#1001 vim".

Joe Vennix, pesquisador de segurança da Apple, descobriu que é possível rodar o comando sudo com sucesso usando o UID -1 ou 4294967295, mesmo se você não for o superusuário. Ele trata você como se tivesse acesso root (UID 0), e não é necessário inserir uma senha, já que esses UIDs não têm senhas associadas a eles.

Sudo make me a sandwich

Quadrinho clássico do XKCD (foto por Ernesto Jiménez/Flickr)

Falha exige "sudo" mal-configurado para funcionar

No entanto, não é exatamente fácil aproveitar essa vulnerabilidade. É necessário que o arquivo de configurações do comando sudo, chamado "sudoers", deixe o usuário rodar alguns comandos como se fosse outro usuário. Por padrão, a maioria das distribuições Linux não permitem isso.

"Embora esse bug seja poderoso, é importante lembrar que ele só funciona se um usuário tiver acesso a um comando por meio do arquivo de configuração sudoers", explica o Bleeping Computer. Caso contrário, a vulnerabilidade não poderá ser explorada.

Ou seja, a maioria dos usuários do Linux e macOS não será afetada. Ainda assim, como esta é uma falha séria, o sudo foi atualizado para a versão 1.8.28 a fim de resolver o problema.

Com informações: Bleeping Computer, Engadget.

Mais sobre: ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Paulo Andador
Entendedores entenderam!
johndoe1981
Eu acho que a piada é o "Ano do Linux no desktop".
Trovalds
Sim, corrigimos a falha primeiro e descobrimos se ela não vai dar problema em outra parte do sistema depois.
Trovalds
Fala o cara que usa Windows "alternativo" que já é uma falha catastrófica por si só.
Trovalds
Na verdade o sudo não é um comando e sim um programa. Pra ser um comando ele precisaria fazer parte do shell como um cp, mv ou mkdir, por exemplo. Em algumas distros ele não vem instalado por padrão.
Trovalds
Eu prefiro criar um usuário com privilégio de elevação pra superuser (via comando "su") e/ou um usuário que tenha alguns privilégios de manutenção na máquina como realizar atualizações. O sudo pra mim é totalmente dispensável.
Canal O Cara Do TI
Q sacanagem hein Felipe, usar uma imagem mó velha do Ubuntu pra ilustrar a matéria??? Mancada isso hein kkkk Mas parabéns pela matéria.
Canal O Cara Do TI
Q sacanagem hein Felipe, usar uma imagem mó velha do Ubuntu pra ilustrar a matéria??? Mancada isso hein kkkk Mas parabéns pela matéria.
Helliton Soares Mesquita
Era recurso.
Paulo Andador
Devido ao ocorrido, o Ano do Linux foi adiado para 2020! ¯\_(ツ)_/¯
José Vieira
Ou seja: tem (falha), mas acabou! rs...
Ian Santos
Não é uma falha simples demais pra não ter sido descoberta antes?
Fernando Val
No Debian você pode conectar na console ou via ssh como root, se configurar o sshd para isso.Permitir que o root logue remotamente é um risco calculado.Distribuições como a Ubuntu (e derivadas) e SO's como o MacOS foram pensados para desktop users e por isso o root não consegue logar, por padrão. Então o sudo se faz necessário para ganhar privilégios de superuser.
manotroll
ja resolveram o problema agora no win iria demorar meses
Fernando Val
Mais ou menos isso.
Fernando Val
Nada é infalível. A diferença está entre descobrir uma falha e 15 minutos depois termos uma correção, e esperar meses para que o mantenedor a libere.
Caleb Enyawbruce
falha no Unix?? ué
Uriel Dos Santos Souza
Uso Debian para usar o Sudo precisa instalar ele! Nunca instalei kkk
brunocabral
Ou seja, é necessário "configurar" a falha.
brunocabral
Ou seja, é necessário "configurar" a falha.