Доступен новый выпуск утилиты sudo 1.9.5, используемой для организации выполнения команд от имени других пользователей. В новой версии устраненошесть проблем с безопасностью, из которых выделяются две уязвимости:...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54394

• Обновление sudo 1.9.5 с устранением уязвимостей,InuYasha, 13:44 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,iPony129412, 13:46 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 14:21 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Урри, 14:38 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 14:53 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Чума, 19:03 , 13-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,anonnononon, 01:39 , 14-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 14:49 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Ilya Indigo, 16:05 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,slepnoga, 16:11 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,InuYasha, 16:35 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,iPony129412, 07:53 , 15-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Ilya Indigo, 11:24 , 15-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,iPony129412, 11:51 , 15-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Ivanr, 19:11 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 20:53 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Ivanr, 21:49 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Oxyd76, 00:59 , 14-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,kmeaw, 03:42 , 14-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,InuYasha, 13:40 , 14-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Леголас, 13:46 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 14:51 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Дегенератор, 18:16 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 18:32 , 13-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,Дегенератор, 20:20 , 13-Янв-21
          • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 23:20 , 15-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 23:19 , 15-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Мамкин Хакер, 14:12 , 13-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,псевдонимус, 14:20 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 14:50 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,ryoken, 14:59 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,annoymou5, 16:38 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,псевдонимус, 18:44 , 13-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,An O Nim, 21:25 , 13-Янв-21
          • Обновление sudo 1.9.5 с устранением уязвимостей,псевдонимус, 02:37 , 14-Янв-21
            • Обновление sudo 1.9.5 с устранением уязвимостей,анон, 07:56 , 14-Янв-21
          • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 03:55 , 14-Янв-21
            • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 23:22 , 15-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,zu, 05:56 , 14-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,анон, 07:59 , 14-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,лютый жабби__, 08:38 , 14-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 14:56 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,ryoken, 14:59 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Мамкин Хакер, 15:10 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,ryoken, 16:40 , 13-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,Мамкин Хакер, 18:13 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 15:23 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Siborgium, 08:24 , 14-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 23:24 , 15-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,Siborgium, 04:17 , 16-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Арчевод, 18:27 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 12:13 , 14-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 15:25 , 13-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 15:29 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,FractaL, 15:31 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 12:14 , 14-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Арчевод, 18:21 , 13-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 18:30 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 19:07 , 13-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,Карл, 00:09 , 16-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Anonim4kk, 20:17 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 21:54 , 13-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 03:52 , 14-Янв-21
          • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 05:49 , 14-Янв-21
            • Обновление sudo 1.9.5 с устранением уязвимостей,Карл, 00:35 , 16-Янв-21
          • Обновление sudo 1.9.5 с устранением уязвимостей,Карл, 00:32 , 16-Янв-21
    • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 19:06 , 13-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 22:22 , 13-Янв-21
        • Обновление sudo 1.9.5 с устранением уязвимостей,попинс, 18:23 , 15-Янв-21
      • Обновление sudo 1.9.5 с устранением уязвимостей,Карл, 00:57 , 16-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 16:48 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,An O Nim, 21:27 , 13-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 02:24 , 15-Янв-21
  • Обновление sudo 1.9.5 с устранением уязвимостей,Карл, 09:44 , 16-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 22:02 , 13-Янв-21
• Обновление sudo 1.9.5 с устранением уязвимостей,Аноним, 07:49 , 14-Янв-21

кто-нибудь в своей практике пользуется этим sudoedit? (я не пользовался ни разу, потому спрашиваю).

да

Юзаю sudo -e, насколько я знаю это одно и то же.

Зачем он нужен, если есть удобный mcedit?

ананасы с яблоками сравнил. sudoedit вообще не редактор, он запускает EDITOR с пониженными привилегиями, а потом только подсовывает измененный файл куда надо.

А главное - проверяет синтаксис, чтоб не было сюрпризов.

ты попутал с visudo

К счастью, не я.

Я тоже в этой новости про sudoedit впервые услышал.
Всегда пишу sudo vim /путь/файл, когда нужно подправить что-то системное.

да, смузики они такие - sudo от sudoedit  нафик не отличают.
ман шоли почетай

> ман шоли почетай

Manager's Manual                                                                         SUDO(8)
NAME
     sudo, sudoedit — execute a command as another user

он общий. Я спрашивал потому что мне интересны случаи использования sudoedit.

> Я тоже в этой новости про sudoedit впервые услышал. Всегда пишу sudo vim

Ну да. И начнётся там всякая ерунда с перетягиванием одеяла.
Если его первым запустить, то .vimrc создаст с рутовскими правами.
Если не в первый раз запустить, то старые настройки не подтянет.

>> Я тоже в этой новости про sudoedit впервые услышал. Всегда пишу sudo vim
> Ну да. И начнётся там всякая ерунда с перетягиванием одеяла.
> Если его первым запустить, то .vimrc создаст с рутовскими правами.
> Если не в первый раз запустить, то старые настройки не подтянет.

Вы, конечно же как всегда, сказали чушь и я абсолютно уверен что Вы самостоятельно даже не поймёте почему!

Если запустить в первый раз sudo vim, то он создаст /root/.viminfo, естественно с правами 0700 root:root, иначе и быть не может и загрузит именно этот файл при последующем запуске. Это логично и ожидаемо!

А вот через sudoedit vim, как раз и начнутся танцы с бубнами и подменами, описанные в этой новости и приводящие к уязвимости.

А вот ещё один момент, который напрочь отбивает желание использовать sudoedit.
При sudo vim /etc/postfix/main.cf в /root/.viminfo запоминается строка, на которой файл был открыт в последний раз, и при повторном открытии он открывается на ней же.
При sudoedit vim /etc/postfix/main.cf в $HOME/.viminfo запоминается мусор, так как создаётся временный файл со случайным названием, и при повторном открытии мусор создаётся снова, но файл открывается сначала, как в первый раз.

Так что всё что я узнал про sudoedit, что это кривой, небезопасный и неудобный костыль, который вообще использовать не следует!

> Если запустить в первый раз sudo vim, то он создаст /root/.viminfo

Уже проходил. А потом бац и при бэкапе home у тебя рутовые файлы конфигурационные от vim. Ну и понятно что ошибки сыпет "не могу файл прочитать, прав нет".

> А вот через sudoedit vim, как раз и начнутся танцы с бубнами и подменами, описанные в этой новости и приводящие к уязвимости.

уровня хакера в столовой.

Илюха как всегда.

Использую su, sudo использую только чтобы задать пароль root

Постоянно пользуюсь - безопасно и удобно. Как для редактирования конфигов (EDITOR=gedit), так и для их слияния, после обновления системы (EDITOR=meld). Обновляться приходится часто - у меня Арч (и всё работает ;)
Плюс, в истории команд оболочки всё чисто: единообразный sudoedit ..., без указания редактора. Как следствие, безболезненная смена редактора или установка разных по условию:
```
# ~/.bashrc
if [ -n "$DISPLAY" ]; then
  case "$DESKTOP_SESSION" in
    xfce) export EDITOR='gedit --standalone' ;;
    plasma) export EDITOR=kate ;;
  esac
else
  export EDITOR=rnano
fi
```
Редактор запускается от пользователя - выбирай любой. Плюс, дополнительные проверки-ограничения для рут-пользователя во время замены файла.
Минус только один - изменения сохраняются только после закрытия временного файла. Но это некритично, а иногда даже удобно.

А вим вообще в емуляторе или в консоле работает

Всегда.

Всегда использую. Это особенно важно, когда через sudoers нужно выдать права на редактирование файла кому-то ещё; sudo vim /file - плохой выбор, потому что тогда пользователь сможет попросить (уже привилегированный) редактор открыть другой файл (:e) или вовсе дать шелл (:!).

Вот это, имхо, уже обоснованно. Почему минусуют - не понимаю.

символическая ссылка -- грозный инструмент в руках умелого хацкера

В руках умелого хацкера что угодно - грозный инструмент.

И борщевой набор?

на минуточку задумайся про свёклу и нож, которым её нарезают.

> на минуточку задумайся про свёклу и нож, которым её нарезают.

Отрезанные пальцы мегахацкера и ухахатывающаяся свелка?

> Отрезанные пальцы мегахацкера и ухахатывающаяся свелка?

Или какой-нибудь реактор генерящий биодизель. Ламеры и хакеры этим и отличаются.

> И борщевой набор?

Не такой уж плохой старт. Как говаривал Эдисон, чтобы что-нибудь изобрести потребуется куча мусора и хорошее воображение.

alv  поясняет нам: "специальная команда sudoedit (или просто sudo с опцией -e). Она не требует указания имени вызываемого для этой цели редактора: в качестве такового используется значение переменной EDITOR из окружения того пользователя, который ее вызвал"

Какой проблемный комбайн однако.  

Мне хватает su.

Да это вообще опциональная хрень которой никто особо не пользуется. И ничего что в su тоже пара дыр была? Примерно один фиг.

В su уязвимости разве что раз в 3-5 лет тут видел, в сабже - раза в 2 чаще :D. Стараюсь в линуксе им не пользоваться, на всякий (это в макакоси без вариантов).

>> Мне хватает su.
> Да это вообще опциональная хрень которой никто особо не пользуется.

Раньше чаще пользовались как раз su, но потом признали её несекьюрной. Типа, подталкивает к постоянной работе из-под рута. И ведь действительно подталкивает, меня во всяком случае. Да и не только меня, неоднократно наблюдал такое и у других сисадминов.

Садовая суду с кучей дырищ признали секундой.

Су просто несколько менее удобна в некоторых случаях.

Одмину подкроватного сервака и даже десятка подвальных серваков, особенно если он единственный админ она совсем не нужна. А стакими фракталовыми дыренями 2-3 раза в год не нужна и вменяемому тырпрайзу.

По СНИП в подвал серверные не ставят. Труба, дыра, вода, вниз, сервер.

Навеяло.

В цоколь вполне себе ставят (

На красный через дорогу тоже бегают.

Япы даже резервный дизель-генератор в затапливаемый подвал на АЭС поставили :)

> Япы даже резервный дизель-генератор в затапливаемый подвал на АЭС поставили :)

И упсы с акумами. Заодно и узнали почему это хреново.

sudo su - вот правильный вариант

Стать рутом и запустить su чтобы еще раз стать рутом. Ну-ну.
sudo -s или sudo -i.

>Типа, подталкивает к постоянной работе из-под рута

20 лет на серверах работаю из под root. Вообще тупейшая мантра, что надо логиниться под васяном, а потом каждую команду дергать с sudo. В чём повышенная секурность-то? Если ты баран, то и с sudo что-то не до наберешь, а если не баран, то и без ОК.

уж сколько раз твердили миру, не пользуйтесь sudo если вам не нужны его фичи.

Если хочется что-то запускать от рута, не вводя его пароль (а это 99% юзкейсов), то есть doas. Минимален и прост как топор, там тупо негде допустить CVE.

Так оно ж под фрю?

Имменно. Осталось освоить фрю или арч,воид.альпин. или скомпилить-весь мир так делает же:)

> Имменно. Осталось освоить фрю или арч,воид.альпин. или скомпилить-весь мир так делает же:)

Фря ненужно. Войд на повермаке живёт. Скомпилировать - дык основной окмп и так на генте. Необходимости менять su на doas как-то не вижу. Что-то кардинально поменяется? :)

Кардинально - ничего, ну можно наделять, а не переключать, и без sudoзаморочек.

"Вот никаких и не читайте"

Нет, конечно. Написан он был под OpenBSD, но отлично работает и под дистрибутивами Linux.

> но отлично работает и под дистрибутивами Linux.

Отлично от других? Ну вот нет в репах дебиана и деривативов такого пакета. Хорошее начало...

>> но отлично работает и под дистрибутивами Linux.
> Отлично от других? Ну вот нет в репах дебиана и деривативов такого
> пакета. Хорошее начало...

Проблемы вашего дистрибутива. В моем все есть и работает.

doas уж очень примитивный. Даже pam не умеет, а без него как sudo авторизовывать через отпечаток пальца или через какой-нибудь howdy.

> doas уж очень примитивный

Так это ж хорошо.

mandatory lockи не нужны (и поэтому не работают вообще, даже если включены) - говорили они.

Хорошо что во времена создания sudo небыло rust. А это эти укурки вызываби бы вызывали для редактировния VSCode с плагинами.

Обязательно. Потому что больше мы ничего не умеем.

Фроктал, как Ваши дырени?

Какая связь между rust и vscode?? Аноним, у тебя в голове каша.

каша в голове растаманов, которые придумали сказки про безопасность, но при этом в ихней недооси течёт память.

У них не только в недооси течёт. Уних обвязки к тулкитам текут. При этом о чудо, сишный код не течет а растовый течет.

Но ты не понимаешь, это другое, это ради твоей безопасности.

Сказку про сосишный код не течёт сам придумал или украл?

Эту штуку https://www.kernel.org/doc/html/latest/dev-tools/kmemleak.html придумали исключительно из-за избытка лишнего времени и ради лулзов, да? Несомненно. В твоей голове и не такой бред уместится :)

Каша а голове Анона, который не осилил доку по Rust, зато умудряется выдавать пёрлы. Никто никогда не обещал вам на полном серьёзе что код на Rust не будет течь. А если вы воспринимаете всяких фракталов, не как жирных троллей - это исключительно ваши проблемы.

> но при этом в ихней недооси течёт память.

Вообще-то, речь там шла о ядерном менеджере памяти. Это такая штука с таблицами страниц, трансляция физ. в виртуальные адреса и прочим. Она может "ныкать" память из-за банальной фрагментации.

Но ЖС-макаки не в курсе таких нюансов - память для них это что-то ужасное с "malloc/free" (ага, в самом менеджере памяти).

Там речь шла именно о баге, который надо было исправить, а не фрагментации.

> Там речь шла именно о баге, который надо было исправить, а не фрагментации.

Ссылка на баг будет? Или как обычно?

Кушай, не обляпайся. Мог бы и сам погуглить, пепега. https://gitlab.redox-os.org/redox-os/redox/-/issues/855

Если погуглить, то в Redox память ядра (Но не юзерспейса) текла, потому что её можно было выделить (под структуры ядра, с помощью вызова  sbrk), но не освободить (Т.к. вызова для этого не было вовсе, как в общем то и учёта). В последнем релизе они написали полнофункциональный менеджер - rmm. Т.ч. это даже не было ошибкой. Зато сколько кукареков от сосишного хеллоуворлдщика выше :)

Простая. У вас даже редактора нормального нету и кроме VSCode вы ничего не знаете.

> Простая. У вас даже редактора нормального нету и кроме VSCode вы ничего не знаете.

Чем, говоришь, emacs и vim ненормальны?

Тем что поддержка раста на уровне подсветки синтаксиса и всё. Ни контекстного поиска, ни контекстного рефакторинга. Ничерта. Но собственно и ожидаемо. Какой язык такая и поддержка. Для нормальных языков предостатчно.

И emacs и vim кстати с нормальными языками отличненько работают. Один только раст в непроглядной ж..е.

Врать не хорошо. RLS и rust-analyzer могут использоваться в любом редакторе, который поддерживает LSP. Для последнего есть инструкции к куче редакторов, помимо vscode https://rust-analyzer.github.io/manual.html . VSCode просто более популярна, потому что в ней всё работает из коробки и без упражнений с менеджерами плагинов, конфигами и т.д. Которые, к слову, не делают тебя сверхчеловеком, а всего лишь показывают, что у тебя есть лишнее время для пердолинга и передёргивания на маргинальные редакторы.

Кроме того есть ещё Intellij Rust, который пилится независимо и тоже весьма популярен.

Но тебе твоё воспалившееся самомнение мешало погуглить всё это время, какая жалость.

Недавно перешёл на opendoas, видать не зря. Чтобы выполнить пару команд из рута - в самый раз. Однако код проще и меньше, а конфиг вообще однострочный.

Букв моноговато в названии. )) Хотя, alias su=opendoas

Прикольная штуковина, но после того как она побывала на галимом гитхабе уже крайне стремно ее использовать.

Понагадили знатно
https://github.com/nholstein/OpenDoas/pull/4

> last 6 years ago

Поздравляю с переходом от дырявого, но штопаемоемого сита на дырявое и нештопоемое сито без пользователей и разработчиков.

Садо без мазо не катит.

/bin/su - хватит всем.