https://bbs.deepin.org/en/post/223830
昨日我们发现,在 20.2.2 的部分机型(参与内测的用户不受影响)上,会出现输入";"可以解锁电脑和跳过 sudo 验证的问题,此问题属于严重的安全漏洞。
有没有使用 deepin 这个发行版的人分析一下,这个安全漏洞的细节?
deepin 是基于 debian 的发行版,但是没听说过 debian 及其衍生发行版有这样的漏洞。所以这种绕过 sudo 验证的漏洞怎么引入到 deepin 中的?
P.S. 这是 21 年的漏洞了,之所以最近想起来是因为 LNMP 被黑产收购后投毒的事件,联想到了国产软件的安全问题。
1
yanqiyu 304 天前 via Android
记得 deepin 有魔改加自己的 pam 模块,可能是什么 pam 涉及用奇怪的方式处理密码然后没处理对?
|
2
debuggerx 304 天前
[“熊孩子”乱敲键盘攻破 Linux 桌面,大神:17 年前我就警告过你们]( https://baijiahao.baidu.com/s?id=1689471335187356383)
[隐藏了十年的 Sudo 漏洞曝出:无需密码就能获取 root 权限]( https://blog.csdn.net/csdnnews/article/details/113409348) 关注的多了就会对这种漏洞见怪不怪了其实…… |
3
virusdefender 304 天前
有点像命令注入
|
4
Yadomin 303 天前 via Android
sudo 自己的洞就不少了
比如 cve-2019-14287 sudo -u#-1 就可以提权 |