28. Januar 2021 | | 0 Kommentare

Linux/Unix/BSD/macOS: Kritische sudo-Lücke gewährt lokalen Angreifern Root-Rechte [für IT-Personal] Pufferüberlauf bei sudo - Bitte schnellstmöglich updaten!

Die zehn Jahre alte Lücke CVE-2021-3156 ermöglicht lokalen Angreifern, Root-Rechte via sudo ohne sudo-Berechtigungen zu erlangen.

Die Sicherheitsfirma Qualsys hat eine Lücke in “sudo” gefunden, die lokalen Nutzern – auch ohne sudo-Berechtigung! – die Erlangung von root Rechten durch einen einfachen Befehl ermöglicht. Der von Qualys auch als “Baron Samedit” bezeichneten Lücke wurde die ID CVE-2021-3156 zugewiesen.

Das Sicherheitsproblem besteht laut Qualys schon seit Juli 2011 und betrifft ältere sudo-Versionen von 1.8.2 bis 1.8.31p2 sowie aktuelle Versionen von 1.9.0 bis 1.9.5p1 – jeweils in der Standardkonfiguration. In der Praxis bedeutet das, dass alle aktuellen Versionen von Linux-Distributionen und BSDs betroffen sein dürften, die sudo verwenden. Mehrere Distributionen haben aktualisierte Pakete bereitgestellt, die Nutzer möglichst zeitnah installieren sollten. sudo 1.9.5p2 ist abgesichert.

CVE-2021-3156 fußt auf Fehlern beim Parsen von sudo-Befehlseingaben, mit denen sich ein Heap-basierter Pufferüberlauf herbeiführen lässt. Der Exploit basiert laut Beschreibungen auf der Eingabe des Befehls “sudoedit -s”, gefolgt von einem speziellen, auf einen einzelnen Backslash endenden Befehlszeilenargument.

Details finden sich hier

Um das eigene System auf Verwundbarkeit zu testen, kann man laut Qualys nach dem Anmelden ohne Root-Privilegien versuchen, den Befehl “sudoedit -s /” (nicht wie im Video ein Backslash) auszuführen. Falls das System verwundbar ist, werde ein Fehler angezeigt, der mit “sudoedit:” beginne. Falls es nicht verwundbar ist, werde ebenfalls eine Fehlermeldung angezeigt – allerdings mit “usage:” am Anfang.

Aktuelle Informationen verschiedener Distributionen und Hersteller finden Sie unter anderem hier:

Quellen:

Kommentar verfassen