【安全通报】Sudo 堆缓冲区溢出漏洞 （CVE-2021-3156）

Sudo（超级用户）允许系统管理员为某些用户（或用户组）提供以 root 用户身份运行某些（或全部）命令的能力，同时记录所有命令和参数。

2021年01月27日，RedHat 发布了 sudo 缓冲区/栈溢出漏洞的风险通告。

攻击者在取得服务器基础权限的情况下，可以利用 sudo 基于堆的缓冲区溢出漏洞，获得root权限。

目前 debain 已经修复该漏洞，centos 依然受到影响。

建议相关用户尽快采取安全措施阻止漏洞攻击。

CVE 编号

CVE-2021-3156

影响范围

• sudo:sudo: 1.8.2 - 1.8.31p2
• sudo:sudo: 1.9.0 - 1.9.5p1

修复建议

1. 下载升级sudo软件包，下载链接为：https://www.sudo.ws/dist/

2. 对于无法立即更新的用户，建议使用systemtap进行以下临时缓解：

   （1）安装所需的systemtap软件包和依赖项：

   systemtap yum-utils kernel-devel-"$(uname -r)"
   

   对于RHEL 7，使用命令安装 kernel debuginfo：debuginfo-install -y kernel-"$(uname -r)"。对于RHEL 8，使用命令安装 sudo debuginfo：debuginfo-install sudo。

   （2）创建以下systemtap脚本（将文件命名为sudoedit-block.stap）:

   probe process("/usr/bin/sudo").function("main") {
           command = cmdline_args(0,0,"");
           if (strpos(command, "edit") >= 0) {
                   raise(9);
           }
   }
   

   （3）使用以下命令安装脚本：（使用root权限）

   # nohup stap -g sudoedit-block.stap &
   

   该脚本将使得易受攻击的sudoedit二进制文件停止工作。sudo命令仍将照常工作。上述更改在重启后失效，必须在每次重启后重新应用。

   （4）一旦安装了补丁程序，就可以通过取消systemtap进程来删除systemtap脚本。例如，通过使用：

   # kill -s SIGTERM 7590 (其中7590是systemtap进程的PID)
   

参考

[1] https://mp.weixin.qq.com/s/1pyFCZ0DiuYXFMaLtN3iaQ

[2] https://security.gentoo.org/glsa/202101-33

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。