请选择 进入手机版 | 继续访问电脑版
查看: 7437|回复: 0

CVE-2023-22809:Sudo权限提升漏洞通告

[复制链接]
匿名
匿名  发表于 2023-3-30 20:24:42 |阅读模式

更新日期:2023-03-30

1
漏洞简述

2023年03月30日,监测发现sudo发布了sudo的风险通告,漏洞编号为CVE-2023-22809,漏洞等级:高危,漏洞评分:7.8。

Linux 中的 Sudo命令可以以系统管理者的身份执行指令。

对此,360CERT建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。

2
风险等级

该漏洞的评定结果如下
评定方式等级
威胁等级高危
影响面广泛
攻击者价值
利用难度
评分7.8

3
漏洞详情
CVE-2023-22809 用户权限提升漏洞
组件: sudo:sudo

漏洞类型: 错误配置, 程序逻辑错误

实际影响: 用户权限提升

主要影响: 服务器接管, 权限提升

简述: 该漏洞存在于Sudo版本1.8.0 - 1.9.12p1中,是一个权限提升漏洞。Sudo 的 -e 功能(又名sudoedit)功能对用户提供的环境变量(SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数处理不当,具有sudoedit访问权限的本地用户可以通过设置精心构造的环境变量组合来触发该漏洞,实现以错误配置的sudoedit的提升到的用户相同的权限来编辑任意文件。

4
影响版本
CVE-2023-22809
组件影响版本安全版本
sudo:sudo1.8.0-1.9.12p11.9.12p2

5
修复建议
通用修补建议
根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-4-14 04:20 , Processed in 0.025933 second(s), 14 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部