V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 822 days ago, the information mentioned may be changed or developed.
https://bbs.deepin.org/en/post/223830
昨日我们发现,在 20.2.2 的部分机型(参与内测的用户不受影响)上,会出现输入";"可以解锁电脑和跳过 sudo 验证的问题,此问题属于严重的安全漏洞。
有没有使用 deepin 这个发行版的人分析一下,这个安全漏洞的细节?
deepin 是基于 debian 的发行版,但是没听说过 debian 及其衍生发行版有这样的漏洞。所以这种绕过 sudo 验证的漏洞怎么引入到 deepin 中的?
P.S. 这是 21 年的漏洞了,之所以最近想起来是因为 LNMP 被黑产收购后投毒的事件,联想到了国产软件的安全问题。
 | 1 yanqiyu Jan 25, 2024 via Android 记得 deepin 有魔改加自己的 pam 模块,可能是什么 pam 涉及用奇怪的方式处理密码然后没处理对? |
 | 2 debuggerx Jan 25, 2024 [“熊孩子”乱敲键盘攻破 Linux 桌面,大神:17 年前我就警告过你们]( https://baijiahao.baidu.com/s?id=1689471335187356383) [隐藏了十年的 Sudo 漏洞曝出:无需密码就能获取 root 权限]( https://blog.csdn.net/csdnnews/article/details/113409348) 关注的多了就会对这种漏洞见怪不怪了其实…… |
 | 3 virusdefender Jan 25, 2024 有点像命令注入 |
 | 4 Yadomin Jan 25, 2024 via Android sudo 自己的洞就不少了 比如 cve-2019-14287 sudo -u#-1 就可以提权 |
Select Language