快检查一下你的 sudo：无需密码就能获取 root 权限，还是个 10 年老 bug

（给Linux爱好者加星标，提升Linux技能）转自：量子位“这可能是近期内最需要重视的sudo漏洞。”程序员都知道，一句sudo可以“为所欲为”。而现在，来自Qualys的安全研究人员发现，sudo中存在一个严重的漏洞：任何本地用户，无需身份验证（密码），也能获得root权限。也就是说，攻击者完全可以利用这个漏洞，直接接管主机系统！什么样的漏洞Qualys的研究人员指出，此漏洞是基于堆的缓冲区溢出。利用这一漏洞，攻击者无需知道用户密码，一样可以获得root权限。并且，是在默认配置下。△攻击效果这一漏洞名为CVE-2021-3156（又名Baron Samedit）。Qualys分析认为，漏洞发生的原因在于sudo错误地转义了参数中的反斜杠。通常，通过shell（sudo -s或sudo -i）运行命令行时，sudo会转 ………………………………