Обнаружена уязвимость в sudo

На десктопе с единственным юзером sudo не нужно. Логично?

Нет

sudo во FreeBSD не входит в базовую систему.

В линуксе тоже не входит в базовую систему. Я его всегда отдельно ставлю.

whoami

facepalm
в первом посте не эксплойт, дающий рута

fix: Этот ваш GNU/Linux решето.

sudo не GNU, ты же знаешь.

В чём паника то?!?

Неужели так тяжело обновиться до рекомендуемой версии, либо откатиться к версии ниже 1.8.х?!?

в возможных неопубликованных уязвимостях в других версиях

Мне повезло, и в мом дистрибутиве обычный способ получения root'а - su. Он подвержен?

потенциально позволяющая получить привилегии root.

ну и ладно

> Чуваки из сабаена не рекомендуют использовать судо. Как чувствовали.

Ты можешь найти подробности этого? Тоже интересно.

А я сам sudo пользовался только в убунте, в неосновном дистрибутиве.

>> В популярной утилите

Есть альтернативы?

Конечно есть, sudo фактически только в 1 дистрибутиве по-умолчанию используется.

./%s -D9 ./%s: неверный ключ — «D»

Sudo version 1.7.2p1

sudo не GNU, ты же знаешь.

Это же iZEN, ты же знаешь.

//к слову, в OpenBSD оно в базовую систему таки входит.

$ ln -s /usr/bin/sudo ./%s
$ ./%s -D9
./%s: неверный ключ -- «D»
...

$ ls /var/log/packages/sudo-1.7.4p6-i486-1_slack13.1 

stable дистрибутивы рулят.

Конечно есть, sudo фактически только в 1 дистрибутиве по-умолчанию используется.

Чую троллизм.

На рабочей системе: sudo version 1.7.2p1 - проблемы ещё нет. А значит и обновляться до 1.8.х не буду.

Debian:
Sudo version 1.8.3p1 есть баг

>> Конечно есть, sudo фактически только в 1 дистрибутиве по-умолчанию используется.

Чую троллизм.

Я тоже в твоём «а что, разве есть альтернативы?» чувствую либо троллизм, либо очень маленький опыт.

плохо, что такие баги в релизе оказываются.

либо очень маленький опыт

2 года. Маленький?

в арче и чакре не работает.

Кто-нибудь объясните толково, нахрена использовать sudo на обычном домашнем десктопе с одним юзером, который все сам и установил/настроил.

на обычном домашнем десктопе с одним юзером

Это у тебя на десктопе один юзер, а у меня не менее 20 из них 18 мои (1 основной и 17 вспомогательных)

Но зачем?

ты под рутом работаешь что ли?

версия 1.7.4р6 таких проблем нет...

Всё правильно, Патрик глючного в дистр не пускает. ;)

Но зачем?

Что зачем? sudo?

дать 1 юзеру возможность запуска одного бинарника с рутовыми правами

покажи мне решение без судо

А что, для работы в десктопных приложениях уже нужны права root?

Нет, 18 своих юзеров.

для работы нет, а вот для установки этих самых - да

зависит от того, зачем конкретно это понадобилось же

Это я тебе объяснять не буду, но ты понял, что один юзер это только у тебя. Тебе sudo не нужен, ну и не надо, флаг тебе в руки.

Зачем sudo если есть su? Убунтопроблемы.

Ну так su же. В моем понимании sudo нужно только в том случае, если необходимо обычным пользователям дать часть прав рута, на запуск какого-нибудь одного бинарника, например. Это прям такой частый юзкейс в жизни админа локалхоста?

Не передергивай. У многих тут по два десятка юзеров на домашней машине, а?

решето
./%s -D9
debug_level: settings: 9=�3
progname: settings: %s=�3
implied_shell: settings: true=�3
network_addrs: settings: 192.168.100.2/255.255.255.0=�3
Segmentation fault

http://en.wikipedia.org/wiki/Uncontrolled_format_string

Выпендрился? Молодец. А теперь расскажи, как при помощи ДАННОГО бага получить рута, либо получить доступ к информации с рутовыми правами.

Русским же по серому написано, что баг при вызове fprintf, а не sprintf.

и все пользователи, которые должны уметь поставить на компьютер программу, должны знать пароль рута что ли?

Наверное в том паника, что баг такого рода уж очень позорно в нашем веке допускать.

у меня.

>> либо очень маленький опыт

2 года. Маленький?

Я не про время, я про опыт. Специально дл ятебя я поискал и не нашёл тему 2006 года про скрипт, выводящий 10 самых популярных команд в консоли, и частоту их использования. Там один человек со стыдом признавал что это su. У многих su было на первом месте. sudo - ни у одного. И найти эту тему не могу.

Зато в поисках той темы, нашёл для тебя цитаты:

Здесь поискал слово «su» и нашёл:

Чтобы переключиться на root в большинстве дистрибутивов Linux, введите su, находясь в командной строке. Вас попросят ввести пароль. В Ubuntu введите sudo bash, а затем обычный пароль пользователя.

Во-первых, переключитесь в администратора root с помощью sudo bash в Ubuntu или просто su в Debian

Просто цитата отсюда:

Кроме того, такая программа может прокинуть на себя алиасы для su и sudo (или поменять переменную PATH) затаиться и ждать получения рутовых полномочий.

Альтернативы нет?

Спор на тему что лучше, su или sudo. Просто вопросы по рааботе su и sudo, показывающиее, что sudo по-умолчанию в большинстве дистрибутивов отключен, и надо включать: http://unixforum.org/index.php?showtopic=26167 http://unixforum.org/index.php?showtopic=80859

Кто ответственен за коммит с багом?

почему?

Читать умеешь?

нахрена использовать sudo на обычном домашнем десктопе с одним юзером, который все сам и установил/настроил.

И да, я убежден, что простому пользователю, который не знает пароль рута, нечего разрешать ставить софт.

Ты уже в меньшинстве :-)

И зачем? Назначание хотя бы 5 из твоих двух десятков объясни.

не все живут в одиночку, зачем ты меришь людей по себе?

Почему ты начинаешь с оскорблений?

программисты мы, демоны у нас живут, тестируем много всякого, еще и людей, на компьютер тот же самый претендующих хватает.

Ты живешь в компании еще 19 человек, и у вас на всех только один компьютер?