Das Qualys-Forschungsteam hat eine Heap-Overflow-Schwachstelle in sudo entdeckt, einem nahezu allgegenwärtigen Dienstprogramm, das auf den wichtigsten Unix-ähnlichen Betriebssystemen verfügbar ist. Jeder unprivilegierte Benutzer kann auf einem verwundbaren Host mit einer Standard-Sudo-Konfiguration Root-Rechte erlangen, indem er diese Sicherheitslücke ausnutzt.
Sudo ist ein leistungsfähiges Dienstprogramm, das in den meisten, wenn nicht allen Unix- und Linux-basierten Betriebssystemen enthalten ist. Es ermöglicht Benutzern, Programme mit den Sicherheitsrechten eines anderen Benutzers auszuführen. Die Sicherheitslücke selbst ist seit fast 10 Jahren im Verborgenen geblieben. Sie wurde im Juli 2011 (Commit 8255ed69) eingeführt und betrifft alle Legacy-Versionen von 1.8.2 bis 1.8.31p2 und alle stabilen Versionen von 1.9.0 bis 1.9.5p1 in ihrer Standardkonfiguration.
Die erfolgreiche Ausnutzung dieser Schwachstelle ermöglicht es jedem unprivilegierten Benutzer, Root-Rechte auf dem verwundbaren Host zu erlangen. Die Sicherheitsforscher von Qualys waren in der Lage, die Schwachstelle unabhängig zu verifizieren und mehrere Varianten des Exploits zu entwickeln und volle Root-Rechte auf Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) und Fedora 33 (Sudo 1.9.2) zu erlangen.
Es ist sehr wahrscheinlich, dass auch andere Betriebssysteme und Distributionen ausnutzbar sind.
Ist mein System betroffen?
Wenn das System noch die verwundbare sudo Version verwendet kann man das durch den Aufruf dieses Befehls prüfen:
sudoedit -s /
Wird eine Ausgabe wie beispielsweise:
sudoedit: /: Keine reguläre Datei
angezeigt, dann ist die sudo Version verwundbar.
Ein aktualisiertes sudo gibt folgende Rückmeldung aus:
usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] file …
Zum Glück gibt es aber bereits Patches die schon vor der Veröffentlichung eingespielt wurden, sofern man ein auto-update aktiviert hat.
Sehr zu empfehlen ist es daher generell bei Linux alle Pakete automatisch aktualisieren zu lassen sofern dieses möglich ist.
Originalmeldung bei Qualys im Blog