CVE-2021-3156 er en nylig offentliggjort sårbarhed, der påvirker næsten hele Linux-økosystemet. Sikkerhedsforskere fra Qualys udnævnte den største fejl “Baron samedit,” som det påvirker “sudoedit -s”.
Ifølge den officielle beskrivelse, sårbarheden er et bunkebaseret bufferoverløb, og det påvirker Sudo før 1.9.5p2. Hvis udnyttet, fejlen kan føre til eskalering af privilegier til root via “sudoedit-s” og et kommandolinjeargument, der ender med et enkelt tilbageslagstegn. Opdaget af Qualys team af forskere, fejlen er nu lappet.
CVE-2021-3156 Teknisk oversigt
Sudo-teamet har givet en forklaring på sikkerhedsspørgsmålet:
En seriøs bunkebaseret bufferoverløb er blevet opdaget i sudo, der kan udnyttes af enhver lokal bruger. Det har fået navnet Baron Samedit af sin opdagelse. Fejlen kan udnyttes for at hæve privilegier til root, selvom brugeren ikke er angivet i sudoers-filen. Brugergodkendelse er ikke påkrævet for at udnytte fejlen.
Analysen fra Qualys afslører, at et vellykket udnyttelsesscenarie kan give uprivilegerede brugere mulighed for at opnå rodrettigheder på den sårbare vært. Holdet var i stand til det “uafhængigt kontrollere sårbarheden og udvikle flere varianter af udnyttelse og opnå fuld root-rettigheder på Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27), og Fedora 33 (sudo 1.9.2).”
Det skal bemærkes, at “andre operativsystemer og distributioner kan sandsynligvis også udnyttes.” Hvis du er interesseret i det mere tekniske aspekt af sårbarheden, du kan også se Proof-of-concept-video som Qualys leverede.
Den mest alvorlige Sudo-bug afsløret i de senere år
To andre Sudo-bugs blev rapporteret i de sidste par år, men CVE-2021-3156 er mere alvorlig. En af de tidligere fejl er CVE-2019-14287, og det involverede den måde, Sudo implementerede kørende kommandoer på med vilkårlig bruger-id.
Ifølge den officielle RedHat-rådgivning, hvis en sudoers-post blev skrevet for at tillade angriberen at køre en kommando som enhver bruger undtagen root, fejlen kunne have været brugt af angriberen til at omgå denne begrænsning. Du kan læse mere om dette ældre nummer i vores artikel “Sudo Bug Giver begrænsede brugere at køre kommandoer som root“.
Den anden ældre sårbarhed er CVE-2019-18634, og at udnytte det var også mere udfordrende.
Hvad angår CVE-2021-3156, Qualys rapporterer, at alle Sudo-installationer, hvor sudoerne arkiverer (/etc / sudoers) er til stede påvirkes. Denne fil kan ses i næsten alle standard Linux + Sudo-installationer.
Sudo-opdateringen er allerede tilgængelig, og det skal anvendes straks.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: