W dniu 26.01.2021 ujawniona została krytyczna podatność sudo oznaczona symbolem CVE-2021-3156.
Podatność umożliwia uzyskanie przez dowolnego lokalnego użytkownika uprawnień root. Do wykorzystania podatności jest zatem potrzebne lokalne konto w systemie, jednak w infrastrukturze Partnerów Konsorcjum PIONIER, występuje bardzo wiele systemów współdzielonych, pracujących pod kontrolą podatnych systemów operacyjnych (Unix/Linux). Ponadto istnieje możliwość wykorzystania opisywanej podatności jako końcowego etapu bardziej skomplikowanego ataku
Podatne wersje:
– 1.8.2 do 1.8.31p2
– 1.9.0 do 1.9.5p1
– możliwe występowanie także w starszych wersjach z uwagi na fakt prawie 10-letniej obecności błędu w kodzie źródłowym.
Do wykorzystania podatności może zostać wykorzystany każdy lokalny nieuprzywilejowany użytkownik istniejący w systemie (np. nobody).
Rekomendujemy dokonanie pilnej aktualizacji pakietu 'sudo’ we wszystkich administrowanych systemach Linux. Większość dystrybucji udostępniło już odpowiednie aktualizacje. Należy zwrócić uwagę na szczegóły wersji, np. w Centos 7 sudo-1.8.23-10.el7.x86_64 jest podatny, natomiast sudo-1.8.23-10.el7_9.1.x86_64 jest zaktualizowaną wersją bez podatności.
W przypadku braku aktualizacji dla danej dystrybucji zalecamy odinstalowanie pakietu, do czasu wydania jego poprawionej wersji.
By zweryfikować występowanie podatności należy wykonać polecenie:
sudoedit -s /
Podatny system zwróci błąd który będzie zaczynać się od informacji 'sudoedit
System z zainstalowanym patchem zwróci błąd zaczynający się od informacji 'usage: ’
Szczegóły techniczne dotyczące błędu oraz PoC ataku został opisany na blogu firmy Qualys:
https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit