มีการค้นพบบั๊กร้ายแรงบน sudo ใน Linux ที่เปิดให้ผู้ที่มี Shell Account สามารถเข้ามายกระดับสิทธิ์ของตนเองเป็น Root ได้ ปัจจุบันมี Patch แล้ว
ช่องโหว่นี้เกิดจากปัญหาในการ Parse เนื้อหาในคำสั่ง sudo ที่ผิดพลาด ทำให้ผู้โจมตีในระบบ Linux ที่มีการตั้งค่าไว้ในบางรูปแบบสามารถใช้ปัญหานี้ในการ Overwrite ไฟล์ใดๆ บนระบบ, Bypass การจำกัดสิทธิ์ต่างๆ ไปจนถึงการยกระดับสิทธิ์ตัวเองเป็น Root ได้
ปัญหานี้เกิดขึ้นกับ Linux จำนวนมาก และส่งผลกระทบไปถึง Linux ที่ใช้ SELinux ด้วย โดยรายการของ Linux ที่ได้รับผลกระทบมีดังนี้
- Red Hat Enterprise Linux 6 (sudo)
- Red Hat Enterprise Linux 7 (sudo)
- Red Hat Enterprise Linux Server (v. 5 ELS) (sudo)
- Debian wheezy
- Debian jessie
- Debian stretch
- Debian sid
- Ubuntu 17.04
- Ubuntu 16.10
- Ubuntu 16.04 LTS
- Ubuntu 14.04 LTS
- SUSE Linux Enterprise Software Development Kit 12-SP2
- SUSE Linux Enterprise Server for Raspberry Pi 12-SP2
- SUSE Linux Enterprise Server 12-SP2
- SUSE Linux Enterprise Desktop 12-SP2
- OpenSuse
สำหรับคำแนะนำเพื่อแก้ปัญหานี้คือการอัปเดต Patch ดังนี้ครับ
- Debian/Ubuntu ใช้ sudo apt update และ sudo apt upgrade
- CentOS/RHEL ใช้ sudo yum update
- Fedora ใช้ sudo dnf update
- SUSE ใช้ sudo zypper update
- Arch Linux ใช้ sudo pacman -Syu
- Alpine ใช้ apk update && apk upgrade