Forskere ved Qualys har oppdaget en sikkerhetssårbarhet i Sudo-programmet som kan utnyttes til å få root-tilgang på Linux-PCer!
Til tross for at titusenvis av bidragsytere aktivt porrer over kildekoden til Linux kjernen og ulike Unix-verktøy som leter etter sikkerhetsfeil, det er ikke uhørt at alvorlige feil går ubemerket. For bare en dag siden avslørte folkene på Qualys en ny heap-basert bufferoverløpsangrepsvektor som retter seg mot "Sudo"-programmet for å få root-tilgang. Feilen denne gangen ser ut til å være ganske alvorlig, og feilen har eksistert i kodebasen i nesten 10 år! Selv om sikkerhetsproblemet med opptrapping av privilegier allerede er rettet, kan det potensielt bli utnyttet nesten hver Linux-distribusjon og flere Unix-lignende operativsystemer.
Gå inn i Baron Samedit
Formelt katalogisert som CVE-2021-3156, har sårbarheten fått navn Baron Samedit. Monikeren ser ut til å spille på Baron Samedi og sudoedit nytte siden sistnevnte brukes i en av utnyttelsesbanene. Ved å utnytte dette sikkerhetsproblemet, kan enhver uprivilegert lokal bruker ha uavgrensede root-rettigheter på den sårbare verten. I mer tekniske termer involverer feilen å kontrollere størrelsen på "user_args"-bufferen (som er ment for sudoers-matching og logging) for å utføre bufferoverløpet og feilaktig unnslippe skråstreker i argumentene for å få root privilegier.
[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]
Hvorfor Baron Samedit er en kritisk sårbarhet
Den utnyttbare koden kan spores tilbake til juli 2011, som påvirker alle eldre Sudo-versjoner fra 1.8.2 til 1.8.31p2 og alle stabile versjoner fra 1.9.0 til 1.9.5p1 i standardkonfigurasjonen. Sikkerhetssårbarheten sies å være ganske triviell å utnytte: den lokale brukeren trenger ikke å være en privilegert bruker eller være en del av sudoers-listen. Som et resultat kan enhver enhet som kjører selv en ganske moderne Linux-distribusjon potensielt bli offer for denne feilen. Faktisk var forskerne fra Qualys i stand til å oppnå fulle root-privilegier på Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) og Fedora 33 (Sudo 1.9.2).
Vi i XDA ønsker generelt velkommen til vanlige brukere å få root-tilgang, men vi feirer ikke eksistensen av rotutnyttelser som dette, spesielt en som er så utbredt og potensielt utrolig farlig for sluttbrukere. Sårbarheten er fikset i sudo versjon 1.9.5p2 utgitt i går, samtidig offentliggjorde Qualys funnene sine. Våre lesere blir bedt om å umiddelbart oppgradere til sudo 1.9.5p2 eller nyere så snart som mulig.
Hvordan sjekke om du er berørt av Baron Samedit
I tilfelle du vil teste om Linux-miljøet ditt er sårbart eller ikke, logg inn på systemet som en ikke-rootbruker og kjør deretter følgende kommando:
sudoedit -s /Et sårbart system bør svare med en feil som starter med sudoedit:. Men hvis systemet allerede er lappet, vil det vise en feil som starter med usage:.
Kilde: Qualys blogg
Via: Blødende datamaskin