大嘎好,半吊子运维又出现了。
今天收到邮件,说是有二个漏洞。本来阿里云可以在控制台内修复,可惜要收费,这笔钱估计老板不大愿意出。所以只能人肉来搞一下子。
$yum update sudo
$yum update openssl
坐等下次的周报看一下还有没有安全漏洞还在不在。
Sudo 堆缓冲区溢出致本地提权漏洞(CVE-2021-3156) 存在EXP权限提升
漏洞描述
Sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。
Sudo 1.8.2-1.8.31p2和1.9.0-1.9.5p1版本存在缓冲区溢出漏洞。攻击者可通过“sudoedit -s”和以单个反斜杠字符结尾的命令行参数利用该漏洞获得系统root权限。
基本信息
- CVE编号: CVE-2021-3156
- 漏洞类型: 权限提升
- 危险等级: 中危
- 披露时间: 未知
OpenSSL 安全漏洞 拒绝服务
漏洞描述
OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL 1.1.1版本和1.0.2版本存在安全漏洞,该漏洞源于空指针解引用和崩溃可能会导致拒绝服务攻击。
基本信息
- CVE编号: CVE-2020-1971
- 漏洞类型: 拒绝服务
- 危险等级: 低危
- 披露时间: 未知