PSA: إذا كان جهاز الكمبيوتر الخاص بك يعمل بنظام التشغيل Linux، فيجب عليك تحديث Sudo الآن

اكتشف الباحثون في Qualys ثغرة أمنية في برنامج Sudo يمكن استغلالها للوصول إلى الجذر على أجهزة الكمبيوتر التي تعمل بنظام Linux!

على الرغم من حقيقة أن عشرات الآلاف من المساهمين يقومون بدراسة الكود المصدري لنظام التشغيل Linux بشكل نشط kernel والعديد من أدوات Unix المساعدة التي تبحث عن ثغرات أمنية، فمن الشائع ظهور أخطاء خطيرة غير ملاحظ. منذ يوم واحد فقط، كشف الأشخاص في Qualys عن ناقل هجوم جديد لتجاوز سعة المخزن المؤقت قائم على الكومة يستهدف برنامج "Sudo" للوصول إلى الجذر. يبدو أن الخطأ هذه المرة خطير للغاية، وكان الخطأ موجودًا في قاعدة التعليمات البرمجية منذ فترة طويلة تقريبًا 10 سنوات! على الرغم من أنه قد تم بالفعل تصحيح ثغرة تصعيد الامتيازات، إلا أنه من المحتمل استغلالها تقريبا كل توزيعة لينكس والعديد من أنظمة التشغيل المشابهة لنظام Unix.


أدخل البارون ساميديت

تم فهرستها رسميًا على أنها CVE-2021-3156، تم تسمية الثغرة الأمنية البارون ساميديت. يبدو أن اللقب هو مسرحية البارون صامدي و ال sudoedit الأداة المساعدة حيث يتم استخدام الأخير في أحد مسارات الاستغلال. من خلال استغلال هذه الثغرة الأمنية، يمكن لأي مستخدم محلي لا يتمتع بامتيازات الحصول على امتيازات جذر غير مقيدة على المضيف الضعيف. بمصطلحات أكثر تقنية، يتضمن الخطأ التحكم في حجم المخزن المؤقت "user_args" (والمخصص لمطابقة sudoers والتسجيل) من أجل تنفيذ تجاوز سعة المخزن المؤقت وإلغاء الخطوط المائلة العكسية بشكل غير صحيح في الوسائط للحصول على الجذر الامتيازات.

[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]

لماذا يعتبر Baron Samedit ثغرة أمنية حرجة

الكود القابل للاستغلال يمكن إرجاعه إلى يوليو 2011، والذي يؤثر على جميع إصدارات Sudo القديمة من 1.8.2 إلى 1.8.31p2 وجميع الإصدارات الثابتة من 1.9.0 إلى 1.9.5p1 في تكوينها الافتراضي. يُقال إن استغلال الثغرة الأمنية تافه إلى حد ما: لا يحتاج المستخدم المحلي إلى أن يكون مستخدمًا متميزًا أو أن يكون جزءًا من قائمة sudoers. ونتيجة لذلك، فإن أي جهاز يعمل حتى بتوزيع Linux حديث إلى حد ما يمكن أن يقع ضحية لهذا الخطأ. في الواقع، تمكن الباحثون من Qualys من الحصول على امتيازات الجذر الكاملة على Ubuntu 20.04 (Sudo 1.8.31)، وDebian 10 (Sudo 1.8.27)، وFedora 33 (Sudo 1.9.2).

نحن في XDA نرحب بشكل عام بقدرة المستخدمين العاديين على الوصول إلى الجذر، لكننا لا نحتفل بوجودها من عمليات استغلال الجذر مثل هذه، خاصة تلك المنتشرة على نطاق واسع والتي من المحتمل أن تكون خطرة بشكل لا يصدق المستخدمين النهائيين. تم إصلاح الثغرة الأمنية في إصدار سودو 1.9.5p2 صدر أمس، في نفس الوقت الذي كشفت فيه شركة Qualys علنًا عن النتائج التي توصلت إليها. يُطلب من قرائنا الترقية فورًا إلى sudo 1.9.5p2 أو إصدار أحدث في أقرب وقت ممكن.

مصدر: xkcd

كيفية التحقق مما إذا كنت متأثرًا بـ Baron Samedit

في حالة رغبتك في اختبار ما إذا كانت بيئة Linux الخاصة بك معرضة للخطر أم لا، قم بتسجيل الدخول إلى النظام كمستخدم غير جذر ثم قم بتشغيل الأمر التالي:

sudoedit -s /

يجب أن يستجيب النظام الضعيف بخطأ يبدأ بـ sudoedit:. ومع ذلك، إذا تم تصحيح النظام بالفعل، فسوف يظهر خطأ يبدأ بـ usage:.


مصدر: مدونة كواليس

عبر: الكمبيوتر النائم