A Qualys kutatói egy biztonsági rést fedeztek fel a Sudo programban, amelyet kihasználva root hozzáférést lehet elérni Linux PC-ken!
Annak ellenére, hogy több tízezer közreműködő aktívan pórulja a Linux forráskódját kernel és különféle Unix segédprogramok biztonsági hibákat keresnek, nem ismeretlen a komoly hibák észrevétlenül. Alig egy nappal ezelőtt a Qualys munkatársai felfedtek egy új kupac alapú puffertúlcsordulási támadási vektort, amely a "Sudo" programot célozza meg, hogy root hozzáférést szerezzen. A hiba ezúttal elég komolynak tűnik, és a hiba szinte már létezik a kódbázison belül 10 év! Bár a jogosultság-kiterjesztési sebezhetőséget már kijavították, potenciálisan kihasználható szinte minden Linux disztribúció és számos Unix-szerű operációs rendszer.
Lépjen be Samedit báró
Formálisan mint CVE-2021-3156, a sérülékenységet elnevezték Samedit báró. Úgy tűnik, a becenév csak játék Samedi báró és a sudoedit segédprogramot, mivel az utóbbit az egyik kihasználási útvonalon használják. A biztonsági rés kihasználásával bármely jogosulatlan helyi felhasználó korlátlan root jogosultsággal rendelkezhet a sérülékeny gazdagépen. Technikai értelemben a hiba magában foglalja a „user_args” puffer méretének szabályozását (amely a megfelelő sudoer-ek számára készült és naplózás), hogy végrehajtsa a puffer túlcsordulást és helytelenül törölje a fordított perjeleket az argumentumokból a root megszerzéséhez kiváltságokat.
[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]
Miért kritikus sérülékenység a Baron Samedit?
A kihasználható kód 2011 júliusáig vezethető vissza, amely az 1.8.2-től 1.8.31p2-ig terjedő összes régi Sudo-verziót, valamint az 1.9.0-tól az 1.9.5p1-ig terjedő összes stabil verziót érinti alapértelmezett konfigurációjukban. A biztonsági rést állítólag meglehetősen triviális kihasználni: a helyi felhasználónak nem kell privilegizált felhasználónak lennie, vagy nem kell szerepelnie a sudoers listában. Ennek eredményeként minden eszköz, amely még egy meglehetősen modern Linux disztribúciót is futtat, áldozatul eshet ennek a hibának. Valójában a Qualys kutatói teljes root jogosultságokat szerezhettek az Ubuntu 20.04 (Sudo 1.8.31), a Debian 10 (Sudo 1.8.27) és a Fedora 33 (Sudo 1.9.2) verziókon.
Mi az XDA-nál általában üdvözljük, hogy a rendszeres felhasználók root hozzáférést kaphatnak, de nem ünnepeljük a létezést az ehhez hasonló gyökérkizsákmányolások, különösen az olyan széles körben elterjedt és potenciálisan hihetetlenül veszélyesek végfelhasználó. A sérülékenységet a sudo 1.9.5p2 verzió tegnap adtak ki, ugyanakkor a Qualys nyilvánosságra hozta megállapításait. Kérjük olvasóinkat, hogy a lehető leghamarabb frissítsenek a sudo 1.9.5p2 vagy újabb verzióra.
Hogyan ellenőrizheti, hogy érintett-e Baron Samedit
Ha szeretné tesztelni, hogy a Linux környezet sebezhető-e vagy sem, jelentkezzen be a rendszerbe nem root felhasználóként, majd futtassa a következő parancsot:
sudoedit -s /A sérülékeny rendszernek a következővel kezdődő hibával kell válaszolnia sudoedit:. Ha azonban a rendszer már javítva van, akkor hibaüzenet jelenik meg, amely a következővel kezdődik usage:.
Forrás: Qualys Blog
Keresztül: Csipogó számítógép