V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-64517
DEB
Средний

sudo-rs - это безопасное воспоминание реализации sudo и su, написанное на Rust. С включенным «По умолчанию targetpw`» («or bydefaults rootp…

CVSS
4.4
Средний
EPSS
0.00
p4
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

sudo-rs - это безопасное воспоминание реализации sudo и su, написанное на Rust. С включенным «По умолчанию targetpw`» («or bydefaults rootpw») пароль целевой учетной записи (или root-аккаунти) вместо вызывающего пользователя используется для аутентификации. sudo-rs, начиная с версии 0.2.5 и до версии 0.2.10, неправильно записывает МСФото пользователя вместо UID аутентификации пользователя в соответствии с UID пользователя в отметке времени аутентификации. Любой более поздний `sudo` призыв на том же терминале, пока временная отметка все еще была действительна, будет использовать эту временную марку, потенциально минуя новую аутентификацию, даже если бы это потребовало. Высокопривилегированный пользователь (способный запускать команды, как другие пользователи, или в корне, через sudo), который знает один пароль учетной записи, ему разрешено запускать команды, поскольку он может выполнять команды, поскольку любая другая учетная запись, для которой политика позволяет им запускать команды, даже если они не знают пароль для этих учетных записей. Общим примером этого было бы то, что пользователь по-прежнему может использовать свой собственный пароль для запуска команд в качестве корня (поведенчество по умолчанию «sudo`»), эффективно сводя на нет предполагаемое поведение «целевого» или «rootpw`». Версия 0.2.10 содержит патч для выпуска. Версии до 0.2.5 не затрагиваются, поскольку они не предлагают "цели по умолчанию" или "по умолчанию rootpw`".

Теги · CWE
CWE-287
CAPEC-22
CAPEC-57
CAPEC-94
CAPEC-114
CAPEC-115
CAPEC-151
CAPEC-194
CAPEC-593
CAPEC-633
CAPEC-650
Затронутые продукты
Rust-sudo-rsRust-sudo-rsRust-sudo-rsRust-sudo-rs
Вектор CVSS
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: L
Локальная (L)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: H
Высокие (H)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.002 · p4
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
rust-sudo-rsОтслеживается
rust-sudo-rsОтслеживается
rust-sudo-rsОтслеживается
rust-sudo-rsОтслеживается