sudo報嚴重緩沖區(qū)溢出漏洞,可致無差別提權
今日,著名Linux安全工具sudo被發(fā)現(xiàn)應嚴重的基于堆緩沖區(qū)溢出,任何本地用戶都可以利用該溢出。它的發(fā)現(xiàn)者將其命名為"Baron Samedit"。即使未在sudoers文件中列出用戶,也可以利用該錯誤進行提權獲得root用戶用戶。利用該漏洞不需要用戶認證,此漏洞已分配為CVE-2021-3156,危險等級評分為7分。
概述
在sudo中發(fā)現(xiàn)一個缺陷。在sudo解析命令行參數(shù)的方式中發(fā)現(xiàn)了基于堆的緩沖區(qū)溢出。任何本地用戶(普通用戶和系統(tǒng)用戶,sudoers和非sudoers)都可以利用此漏洞,而無需進行身份驗證(即,攻擊者不需要知道用戶的密碼),利用此漏洞可以用于普通用戶無差別提權,漏洞對數(shù)據(jù)機密性和完整性以及系統(tǒng)可用性帶來嚴重威脅。
漏洞細節(jié)
當sudo通過-s或-i命令行選項在shell模式下運行命令時,它將在命令參數(shù)中使用反斜杠轉義特殊字符。如果命令在外殼模式下運行,那么sudoers策略插件將在評估sudoers策略(不希望使用轉義字符)之前從參數(shù)中刪除轉義字符。
如果代碼中的錯誤以未轉義的反斜杠字符結尾,那么它將刪除轉義字符的錯誤會超出字符串的最后一個字符。在正常情況下,該錯誤將是無害的,因為sudo對命令參數(shù)中的所有反斜杠進行了轉義。但是,由于在命令行解析代碼中存在一個邏輯錯誤,導致可以使用-s或-i選項運行sudoedit,并設置一個指示啟用Shell模式的標志。因為實際上沒有運行命令,所以sudo不會轉義特殊字符。最后,決定是否刪除轉義符的代碼并沒有檢查命令是否正在實際運行,僅檢查了設置了shell標志。
有關更多信息,請參閱Qualys通報
(blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit)。
漏洞驗證
用普通用戶登陸,在shell界面執(zhí)行:
- sudoedit -s /
如果輸出為:
- usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-D directory] [-g group]
- [-h host] [-p prompt] [-R directory] [-T timeout] [-u user]
- file ...
則系統(tǒng)不受影響或者已經(jīng)修復了漏洞。
如果輸出為:
- sudoedit: /: not a regular file
則表示系統(tǒng)存在該漏洞。
受影響版本
Sudo 1.8.2到1.8.31p2和1.9.0到1.9.5p1均會受到影響。
根據(jù)紅帽子官方調查:
紅帽子企業(yè)版 6,7,8版本(對應centos 6,7 ,8),OpenShift容器平臺 4.4.,4.5,4.6 版本均受影響
解決方法
安裝Sudo 1.9.5p2版本或修補的供應商支持的版本。
紅帽官方已經(jīng)發(fā)布漏洞補丁(國內鏡像可能要一天后同步到),可以直接通過yum升級:
- yum update sudo
對于Cent 7,筆者測試在 1.8.23-10.1(10.e17_9.1)版本中解決,升級后可以用
- rpm -qi sudo
對應如下:
減輕
對無法更新的用戶,紅帽官方發(fā)布了漏洞減緩方法,建議使用systemtap進行緩解:
(1) 安裝所需的systemtap軟件包和依賴項:
- systemtap yum-utils kernel-devel-"$(uname -r)"
然后對于RHEL 7,使用以下命令安裝內核:
- debuginfo-install -y kernel-"$(uname -r)"
然后對于RHEL 8,使用以下命令安裝:
- debuginfo-install sudo
(2) 創(chuàng)建以下systemtap腳本:(將文件稱為sudoedit-block.stap)
- probe process("/usr/bin/sudo").function("main") {
- command = cmdline_args(0,0,"");
- if (strpos(command, "edit") >= 0) {
- raise(9);
- }
- }
(3) 使用以下命令安裝腳本(root執(zhí)行):
- nohup stap -g sudoedit-block.stap &
(這將輸出systemtap腳本的PID編號)
該腳本將導致易受攻擊的sudoedit二進制文件停止工作。sudo命令仍將照常工作。上述更改在重啟后不會持久存在,需要重啟繼續(xù)執(zhí)行。
(4) 一旦安裝了新的固定軟件包,就可以通過終止systemtap進程來刪除systemtap腳本。例如,通過使用以下命令:
- kill -s SIGTERM 7590
(其中7590是systemtap進程的PID)
