2019年10月15日，阿里云应急响应中心监测到国外安全研究人员披露了Sudo软件提权漏洞。在Sudo配置不当的情况下，本地攻击者通过构造特殊命令，可以绕过Sudo限制以root身份在服务器上执行任意命令。漏洞实际利用场景为本地提权，风险较低。

漏洞描述

当 /etc/sudoers 文件中存在 *=(ALL, *) 形式的配置时，本地攻击者可以通过指定用户ID为-1或者4294967295，从而以root权限在服务器上执行命令。

漏洞评级

CVE-2019-14287 低危

影响版本

Sudo < 1.2.28

安全建议

1. 升级Sudo版本到 1.2.28

2. 检查 /etc/sudoers 是否存在配置错误

相关链接

https://www.sudo.ws/alerts/minus_1_uid.html

我们会关注后续进展，请随时关注官方公告。
如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2019.10.15