সুডোতে দুটি গুরুত্বপূর্ণ দুর্বলতা আবিষ্কৃত হয়েছে যা লিনাক্স এবং অনুরূপ সিস্টেমে বিশেষাধিকার বৃদ্ধির সুযোগ করে দেয়

লক্ষ লক্ষ লিনাক্স এবং ইউনিক্স সিস্টেমের আবির্ভাবের কারণে গুরুতর নিরাপত্তা ঝুঁকির সম্মুখীন হয়েছে সুডোতে দুটি দুর্বলতা, একটি মৌলিক হাতিয়ার যা ব্যবহারকারীদের নিয়ন্ত্রিত পদ্ধতিতে উন্নত অনুমতি সহ কমান্ডগুলি কার্যকর করতে দেয়। এই ত্রুটিগুলি, হিসাবে চিহ্নিত জন্য CVE-2025-32462 y জন্য CVE-2025-32463, সম্প্রতি সাইবার নিরাপত্তা বিশেষজ্ঞরা বিশ্লেষণ এবং প্রতিবেদন করেছেন, তাদের প্রভাব এবং প্যাচ প্রয়োগের জরুরিতা সম্পর্কে সতর্ক করেছেন।

এই আবিষ্কার সিস্টেম অ্যাডমিনিস্ট্রেটর এবং কোম্পানিগুলিকে সতর্ক করে দিয়েছে, কারণ বেশিরভাগ GNU/Linux ডিস্ট্রিবিউশন এবং macOS-এর মতো অনুরূপ সিস্টেমে Sudo ডিফল্টরূপে উপস্থিত থাকে। উভয় বাগই বিশেষাধিকার বৃদ্ধির সুযোগ দেয় প্রশাসনিক অনুমতি ছাড়া অ্যাকাউন্ট থেকে তথ্য স্থানান্তর করা, যা প্রভাবিত কম্পিউটারগুলির অখণ্ডতার সাথে আপস করে।

সুডো কী এবং কেন এটি এত গুরুত্বপূর্ণ?

ইউনিক্স পরিবেশে সুডো একটি অপরিহার্য ইউটিলিটি, রুট হিসেবে লগ ইন না করেই প্রশাসনিক কাজ চালানোর জন্য ব্যবহৃত হয়এই টুলটি ব্যবহারকারীরা কোন কোন কমান্ড কার্যকর করতে পারবেন তার উপর বিস্তারিত নিয়ন্ত্রণ প্রদান করে, যা সর্বনিম্ন সুবিধার নীতি বজায় রাখতে এবং নিরীক্ষণের উদ্দেশ্যে সমস্ত কর্ম লগ করতে সহায়তা করে।

Sudo কনফিগারেশন ফাইল থেকে পরিচালিত হয় জন্য / etc / sudoers, ব্যবহারকারী, কমান্ড বা হোস্টের উপর ভিত্তি করে নির্দিষ্ট নিয়ম সংজ্ঞায়িত করার অনুমতি দেয়, যা বৃহৎ অবকাঠামোতে নিরাপত্তা জোরদার করার একটি সাধারণ অভ্যাস।

সুডো দুর্বলতার প্রযুক্তিগত বিবরণ

CVE-2025-32462: হোস্ট অপশন ব্যর্থতা

এই দুর্বলতাটি এক দশকেরও বেশি সময় ধরে সুডোর কোডে লুকিয়ে ছিল।, 1.9.0 থেকে 1.9.17 পর্যন্ত স্থিতিশীল সংস্করণ এবং 1.8.8 থেকে 1.8.32 পর্যন্ত লিগ্যাসি সংস্করণগুলিকে প্রভাবিত করে। এর উৎপত্তি বিকল্পটিতে -h o --host, যা প্রাথমিকভাবে অন্যান্য কম্পিউটারের জন্য তালিকাভুক্তির সুবিধাগুলিতে সীমাবদ্ধ থাকা উচিত তবে, নিয়ন্ত্রণ ব্যর্থতার কারণে, এটি সিস্টেমে কমান্ড কার্যকর করতে বা রুট হিসাবে ফাইল সম্পাদনা করতে ব্যবহার করা যেতে পারে।

আক্রমণ ভেক্টর নির্দিষ্ট কনফিগারেশন ব্যবহার করে যেখানে সুডো নিয়মগুলি নির্দিষ্ট হোস্ট বা হোস্টনেম প্যাটার্নের মধ্যে সীমাবদ্ধ।। এভাবে, একজন স্থানীয় ব্যবহারকারী অন্য অনুমোদিত হোস্টে কমান্ড চালানোর ভান করে সিস্টেমকে প্রতারণা করতে পারে এবং রুট অ্যাক্সেস পেতে পারে। জটিল কাজে লাগানোর প্রয়োজন ছাড়াই.

এই বাগের ব্যবহার বিশেষ করে এন্টারপ্রাইজ পরিবেশে উদ্বেগজনক, যেখানে Host বা Host_Alias ​​নির্দেশিকা সাধারণত অ্যাক্সেস ভাগ করার জন্য ব্যবহৃত হয়। কোনও অতিরিক্ত এক্সপ্লাইট কোডের প্রয়োজন নেই, কেবল বিকল্পটি দিয়ে সুডো চালু করুন -h এবং একটি হোস্টকে সীমাবদ্ধতা এড়িয়ে যাওয়ার অনুমতি দেওয়া হয়েছে।

CVE-2025-32463: Chroot ফাংশনের অপব্যবহার

এর ক্ষেত্রে CVE-2025-32463, তীব্রতা বেশি: ২০২৩ সালের ১.৯.১৪ সংস্করণে chroot ফাংশনে একটি ত্রুটির প্রবর্তন করা হয়েছে যার ফলে যেকোনো স্থানীয় ব্যবহারকারী তাদের নিয়ন্ত্রণাধীন পাথ থেকে ইচ্ছামত কোড কার্যকর করতে পারবেন, প্রশাসকের বিশেষাধিকার লাভ করবেন।

আক্রমণটি নেম সার্ভিস সুইচ (NSS) সিস্টেমের কারসাজির উপর ভিত্তি করে। বিকল্পটি দিয়ে Sudo চালানোর মাধ্যমে -R (chroot) ব্যবহার করে আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি ডিরেক্টরি রুট হিসেবে সেট করে, Sudo এই ম্যানিপুলেট করা পরিবেশ থেকে কনফিগারেশন এবং লাইব্রেরি লোড করে। একজন আক্রমণকারী একটি দূষিত শেয়ার্ড লাইব্রেরি লোড করতে বাধ্য করতে পারে (উদাহরণস্বরূপ, এর মাধ্যমে /etc/nsswitch.conf (একটি নকল এবং chroot রুটে প্রস্তুত একটি লাইব্রেরি) সিস্টেমে একটি রুট শেল পেতে। এই ত্রুটির অস্তিত্ব বেশ কয়েকটি বিতরণে নিশ্চিত করা হয়েছে, তাই সর্বশেষ আপডেটগুলির সাথে আপ-টু-ডেট থাকা যুক্তিযুক্ত।

এই কৌশলটির সরলতা বাস্তব-বিশ্বের পরিস্থিতিতে যাচাই করা হয়েছে, শুধুমাত্র একটি C কম্পাইলার ব্যবহার করে লাইব্রেরি তৈরি করা হয়েছে এবং Sudo দিয়ে উপযুক্ত কমান্ড চালু করা হয়েছে। কোনও প্রযুক্তিগত পরিশীলিততা বা জটিল কনফিগারেশনের প্রয়োজন নেই.

এই দুটি দুর্বলতা উবুন্টু, ফেডোরা এবং ম্যাকওএস সিকোইয়ার সাম্প্রতিক সংস্করণগুলিতে যাচাই করা হয়েছে, যদিও অন্যান্য বিতরণগুলিও প্রভাবিত হতে পারে। আরও সুরক্ষার জন্য, ডেভেলপারদের দ্বারা প্রস্তাবিত আপডেটগুলি প্রয়োগ করা অপরিহার্য।

প্রশাসক এবং ব্যবহারকারীদের কী করা উচিত

একমাত্র কার্যকর ব্যবস্থা হল সুডো আপডেট করা ১.৯.১৭p১ বা তার পরবর্তী সংস্করণে, কারণ এই রিলিজে ডেভেলপাররা দুটি সমস্যাই ঠিক করেছেন: হোস্ট বিকল্পটি বৈধ ব্যবহারের মধ্যে সীমাবদ্ধ করা হয়েছে এবং chroot ফাংশনটি তার পথ এবং লাইব্রেরি ব্যবস্থাপনায় পরিবর্তন পেয়েছে।উবুন্টু, ডেবিয়ান, সুস এবং রেড হ্যাটের মতো প্রধান বিতরণগুলি ইতিমধ্যেই সংশ্লিষ্ট প্যাচগুলি প্রকাশ করেছে এবং তাদের সংগ্রহস্থলগুলিতে নিরাপদ সংস্করণ রয়েছে।

নিরাপত্তা বিশেষজ্ঞরাও সুপারিশ করেন ফাইলগুলি অডিট করুন /etc/sudoers y /etc/sudoers.d হোস্ট বা হোস্ট_আলিয়াস নির্দেশিকাগুলির সম্ভাব্য ব্যবহারগুলি সনাক্ত করতে এবং বাগটি কাজে লাগানোর অনুমতি দেয় এমন কোনও নিয়ম নেই কিনা তা পরীক্ষা করতে।

কোন কার্যকর বিকল্প সমাধান নেই। যদি আপনি তাৎক্ষণিকভাবে আপডেট করতে না পারেন, তাহলে অ্যাক্সেস এবং প্রশাসনিক বিধিনিষেধগুলি নিবিড়ভাবে পর্যবেক্ষণ করার পরামর্শ দেওয়া হচ্ছে, যদিও এক্সপোজারের ঝুঁকি বেশি থাকে। ব্যবস্থা এবং সুপারিশ সম্পর্কে আরও জানতে, এই নির্দেশিকাটি দেখুন লিনাক্সে নিরাপত্তা আপডেট.

এই ঘটনাটি নিয়মিত নিরাপত্তা পরীক্ষা এবং সুডোর মতো প্রয়োজনীয় উপাদানগুলিকে হালনাগাদ রাখার গুরুত্বকে তুলে ধরে। এত বিস্তৃত ইউটিলিটিতে এক দশকেরও বেশি সময় ধরে লুকানো ত্রুটিগুলির অস্তিত্ব অবিরাম পর্যালোচনা ছাড়াই অবকাঠামোগত সরঞ্জামগুলির উপর অন্ধভাবে নির্ভর করার বিপদের স্পষ্ট স্মারক।

সুডোতে এই দুর্বলতাগুলি সনাক্তকরণ সক্রিয় প্যাচিং এবং অডিটিং কৌশলগুলির গুরুত্বকে তুলে ধরে। প্রশাসক এবং সংস্থাগুলির তাদের সিস্টেমগুলি পর্যালোচনা করা উচিত, উপলব্ধ প্যাচগুলি প্রয়োগ করা উচিত এবং ভবিষ্যতে গুরুত্বপূর্ণ অপারেটিং সিস্টেম উপাদানগুলিকে প্রভাবিত করে এমন সমস্যাগুলির জন্য সতর্ক থাকা উচিত।

সম্পর্কিত নিবন্ধ:

সুডোর দুর্বলতা ম্যাকোসকেও প্রভাবিত করে এবং এখনও প্যাচ করে না