作为 Linux 中最常使用的重要实用程序之一，Sudo 几乎安装在每一款 UNIX 和 Linux 发行版上，以便用户调用和实施核心命令。  然而近期曝出的一个提权漏洞，却直指 sudo 的一个安全策略隐患  —— 即便配置中明确不允许 root 用户访问，该漏洞仍可允许恶意用户或程序，在目标 Linux 系统上以 root 用户身份执行任意命令。
　　（题图 via Hacker News ）
　　据悉，Sudo 特指“超级用户”。作为一个系统命令，其允许用户以特殊权限来运行程序或命令，而无需切换使用环境（通常以 root 用户身份运行命令）。
　　默认情况下，在大多数 Linux 发行版中（如屏幕快照所示），/ etc / sudoers 的 RunAs 规范文件中的 ALL 关键字，允许 admin 或 sudo 分组中的所有用户，以系统上任何有效用户的身份运行任何命令。
　　然而由于特权分离是 Linux 中最基本的安全范例之一，因此管理员可以配置 sudoers 文件，来定义哪些用户可以运行哪些命令。
　　这样一来，基板限制了用户以 root 身份运行特定或任何命令，该漏洞也可允许用户绕过此安全策略，并完全控制系统。
　　Sudo 开发者称： “只要 Runas 规范明确禁止 root 访问、首先列出 ALL 关键字，具有足够 sudo 权限的用户就可以使用它来以 root 身份运行命令。”
　　据悉，该漏洞由 苹果 信息安全部门的 Joe Vennix 追踪发现（CVE-2019-14287）。且想要利用这个 bug，只需 Sudo User ID -1 或 4294967295 。
　　这是因为将用户 ID 转换为用户名的函数，会将 -1（或无效等效的 4294967295）误认为 0，而这正好是 root 用户 User ID 。
　　此外，由于通过 -u 选项指定的 User ID 在密码数据库中不存在，因此不会运行任何 PAM 会话模块。
　　综上所述，该漏洞影响最新版本 1.8.28 之前的所有 Sudo 版本。庆幸的是，几个小时前，各大 Linux 发行版都已经在向用户推送新版本了。
　　【来源：cnBeta.COM】

Linux之父LinusTorvalds我已经不是程序员了，工作就是说不IT之家7月5日消息被称为Linux之父的LinusTorvalds在开源峰会和嵌入式Linux大会上与VMware副总裁兼首席开源官DirkHohndel的对话中讨论了他作为内核承载青春校园记忆的人人网回来了！已在Appstore上线近日，人人App1。0。1版本在AppStore上线，页面仍是熟悉的蓝白配色，开发者是北京斗牛士文化传媒有限公司。在该App页面上介绍道，这是中国最悠久的校园社交网络平台，从200谷歌宣布更改Chrome扩展程序商店政策打击垃圾插件IT之家5月1日消息谷歌今天通过GoogleChromium博客宣布，正在对其Chrome网上应用店政策进行新的更改，目的是从这个最大的浏览器扩展程序市场中删除垃圾插件。这些政策更荣耀MagicBook2019推出Linux版，R58G256G3699元IT之家9月25日消息不久前，荣耀MagicBookPro和几款华为MateBook推出了Linux版，售价要比Windows版本便宜几百元，现在荣耀MagicBook2019也推国外大神开发虚拟机UTM，让苹果iPadiPhone运行Windows7LinuxIT之家2月22日消息近日一款名为UTM的虚拟机浮出水面，号称无需越狱，就可以让iOS设备运行Windows和Linux系统。IT之家从UTM的官网获悉，UTM是一个可以让你在iP运行深度Linux的华为MateBook笔记本电脑现身IT之家9月13日消息据Deepin官方论坛上的消息显示，国内出现了运行深度系统（Deepin）的华为MateBook笔记本，据称华为与深度Linux已经进行了长时间的适配工作。根百度网盘官方推出Linux客户端支持中标麒麟（兆芯版）感谢IT之家网友一点点的线索投递！IT之家6月15日消息近期，百度网盘官方网站已经上架了Linux版v2。0。1，适用于中标麒麟桌面操作系统软件（兆芯版）V7。0，下载大小为63。2899元4899元的迅雷终身会员，你会购买吗？IT之家6月21日消息近日，迅雷官方上线了终身会员活动，终身白金会员目前价格2899元，终身超级会员目前价格4899元。不过今天下午，迅雷终身会员活动页面发布新公告，声称本次迅雷终谷歌计划在Chrome80。0版本中移除FTP支持IT之家8月17日消息日前，谷歌发文表示将从Chrome80。0版本开始，停止对FTP支持。谷歌作出这一决定已经由来已久。谷歌认为，FTP因为不支持加密所以存在的安全问题导致FTPLinux驱动代码显示AMDNavi显卡将沿用GCN架构IT之家4月27日消息根据外媒的报道，他们在AMDNavi开源Radeon驱动程序找到了一些代码，证实了下一代Navi将继续沿用GCN架构。外媒在开源驱动中找到了EFAMDGPUMChrome浏览器桌面版终于要迎来稍后阅读功能，iOS版三年前已支持IT之家7月27日消息我们知道，iOS版的Chrome浏览器三年前就已支持保存网页以备日后查看，也就是稍后阅读功能，但谷歌从来没有在其他平台上引入该功能，不过这种情况很快就要改变了