【安全通报】Sudo 堆缓冲区溢出漏洞 (CVE-2021-3156)

花屋敷  238天前

image-20210127143833897.png

Sudo(超级用户)允许系统管理员为某些用户(或用户组)提供以 root 用户身份运行某些(或全部)命令的能力,同时记录所有命令和参数。

2021年01月27日,RedHat 发布了 sudo 缓冲区/栈溢出漏洞的风险通告。

攻击者在取得服务器基础权限的情况下,可以利用 sudo 基于堆的缓冲区溢出漏洞,获得root权限。

目前 debain 已经修复该漏洞,centos 依然受到影响。

建议相关用户尽快采取安全措施阻止漏洞攻击。

CVE 编号

CVE-2021-3156

影响范围

  • sudo:sudo: 1.8.2 - 1.8.31p2
  • sudo:sudo: 1.9.0 - 1.9.5p1

修复建议

  1. 下载升级sudo软件包,下载链接为:https://www.sudo.ws/dist/

  2. 对于无法立即更新的用户,建议使用systemtap进行以下临时缓解:

    (1)安装所需的systemtap软件包和依赖项:

    systemtap yum-utils kernel-devel-"$(uname -r)"
    

    对于RHEL 7,使用命令安装 kernel debuginfo:debuginfo-install -y kernel-"$(uname -r)"。对于RHEL 8,使用命令安装 sudo debuginfo:debuginfo-install sudo

    (2)创建以下systemtap脚本(将文件命名为sudoedit-block.stap):

    probe process("/usr/bin/sudo").function("main") {
            command = cmdline_args(0,0,"");
            if (strpos(command, "edit") >= 0) {
                    raise(9);
            }
    }
    

    (3)使用以下命令安装脚本:(使用root权限)

    # nohup stap -g sudoedit-block.stap &
    

    该脚本将使得易受攻击的sudoedit二进制文件停止工作。sudo命令仍将照常工作。上述更改在重启后失效,必须在每次重启后重新应用。

    (4)一旦安装了补丁程序,就可以通过取消systemtap进程来删除systemtap脚本。例如,通过使用:

    # kill -s SIGTERM 7590 (其中7590是systemtap进程的PID)
    

参考

[1] https://mp.weixin.qq.com/s/1pyFCZ0DiuYXFMaLtN3iaQ

[2] https://security.gentoo.org/glsa/202101-33


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论