1月27日�,234钱包安全应急响应中心监测到国外安全钻研人员披露了一个sudo 堆缓冲区溢出致本地提权的缝隙�,缝隙编号为CVE-2021-3156��!
该缝隙险些影响所有Linux刊行版�,建议使用了sudo的用户实时升级到最新版本或采取有关措施�,预防被黑客攻击造成损失��!
风险等级
高危
缝隙描述
Sudo是一个职能壮大的实用法式�,大无数基于Unix和Linux的操作系统都蕴含sudo��!
在sudo解析号令行参数的方式中发现了基于堆的缓冲区溢出��!H魏伪镜赜没Вㄔ毯ǔS没Ш拖低秤没�,sudoer和非sudoers)都能够利用此缝隙�,无需进行身份验证�,也不必要知晓用户的密码�,成功利用此缝隙能够获得root权限��!
影响版本
Sudo1.9.0到 1.9.5p1 所有不变版(默认配置)
Sudo1.8.2到 1.8.31p2所有版本
检测步骤
以非root用户登录系统�,并使用号令sudoedit -s /
- 若是响应一个以sudoedit:开头的报错�,那么批注存在缝隙��!
- 若是响应一个以usage:开头的报错�,那么批注补丁已经生效��!
修复建议
通用规划�:�:�:
升级到1.9.5p2 或更新版本�,sudo软件包下载地址�:�:�:
https://www.sudo.ws/dist/
暂缓规划�:�:�:
对于无法立即更新的用户�,建议使用systemtap进行以下一时缓解�:�:�:
1. 装置所需的systemtap软件包和依赖项�:�:�:
systemtap yum-utils kernel-devel-"$(uname -r)"
对于RHEL 7�,使用号令装置 kernel debuginfo�:�:�:debuginfo-install -y kernel-"$(uname -r)"��!6杂赗HEL 8�,使用号令装置 sudo debuginfo�:�:�:debuginfo-install sudo��!
2. 创建以下systemtap剧本(将文件定名为sudoedit-block.stap):
probe process("/usr/bin/sudo").function("main") {
command = cmdline_args(0,0,"");
if (strpos(command, "edit") >= 0) {
raise(9);
}
}
3. 使用以下号令装置剧本�:�:�:(使用root权限)
# nohup stap -g sudoedit-block.stap &
该剧本将使得易受攻击的sudoedit二进制文件终场工作��!udo号令仍将照常工作��!I鲜龈脑谥仄艉笫�,必须在每次重启后重新利用��!
4. 一旦装置了补丁法式�,就能够通过取缔systemtap过程来删除systemtap剧本��!@�,通过使用�:�:�:
# kill -s SIGTERM 7590 (其中7590是systemtap过程的PID)
参考链接
[1]https://access.redhat.com/security/cve/CVE-2021-3156
[2]https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
北京234钱包网络技术有限公司
2021/01/27