SUDO: znaleziono krytyczną lukę w zabezpieczeniach

Zespół badawczy Qualys odkrył lukę typu heap overflow w sudo niemal wszechobecne narzędzie dostępne w większości uniksopodobnych systemów operacyjnych. Każdy użytkownicy nieuprzywilejowani może zostać zainstalowany na podatnym hoście z oprogramowaniem Standardowa konfiguracja Sudo uzyskać uprawnienia roota poprzez wykorzystanie tej luki.

Sudo jest potężnym narzędziem dołączonym do większości, jeśli nie wszystkich, systemów operacyjnych opartych na Uniksie i Linuksie. Umożliwia użytkownikom uruchamianie programów z uprawnieniami bezpieczeństwa innego użytkownika. Sama podatność jest od prawie 10 lat pozostał ukryty. Został on wprowadzony w lipcu 2011 roku (commit 8255ed69) i dotyczy wszystkich starszych wersji od 1.8.2 do 1.8.31p2 oraz wszystkich stabilnych wersji od 1.9.0 do 1.9.5p1 w ich domyślnej konfiguracji.

Udane wykorzystanie tej luki pozwala dowolnemu nieuprzywilejowanemu użytkownikowi uzyskać uprawnienia roota na podatnym hoście. Badacze bezpieczeństwa z firmy Qualys byli w stanie niezależnie zweryfikować lukę, opracować wiele wariantów exploita i uzyskać pełne uprawnienia roota na Ubuntu 20.04 (Sudo 1.8.31), Debianie 10 (Sudo 1.8.27) i Fedorze 33 (Sudo 1.9.2).

Jest bardzo prawdopodobne, że inne systemy operacyjne i dystrybucje są również podatne na exploity.

Czy mój system jest uszkodzony?

Jeśli system nadal używa podatnej wersji sudo, możesz to sprawdzić wywołując tę komendę:

sudoedit -s /

Jeśli wyjście takie jak:

sudoedit: /: Nie jest to zwykły plik

jest wyświetlana, to wersja sudo jest podatna na atak.

Zaktualizowane sudo daje następującą informację zwrotną:

usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] file ...

Na szczęście istnieją już poprawki, które zostały zastosowane przed wydaniem, jeśli aktywowałeś auto-update.

Dlatego zalecane jest, aby wszystkie pakiety dla systemu Linux były aktualizowane automatycznie, jeśli to możliwe.

Oryginalna wiadomość na stronie Qualys w blogu

Wskazówki dotyczące bezpieczeństwa dystrybucji

Artykuły bieżące