Linux/Unix/BSD/macOS: Kritische sudo-Lücke gewährt lokalen Angreifern Root-Rechte [für IT-Personal] Pufferüberlauf bei sudo - Bitte schnellstmöglich updaten!
Die zehn Jahre alte Lücke CVE-2021-3156 ermöglicht lokalen Angreifern, Root-Rechte via sudo ohne sudo-Berechtigungen zu erlangen.
Die Sicherheitsfirma Qualsys hat eine Lücke in “sudo” gefunden, die lokalen Nutzern – auch ohne sudo-Berechtigung! – die Erlangung von root Rechten durch einen einfachen Befehl ermöglicht. Der von Qualys auch als “Baron Samedit” bezeichneten Lücke wurde die ID CVE-2021-3156 zugewiesen.
Das Sicherheitsproblem besteht laut Qualys schon seit Juli 2011 und betrifft ältere sudo-Versionen von 1.8.2 bis 1.8.31p2 sowie aktuelle Versionen von 1.9.0 bis 1.9.5p1 – jeweils in der Standardkonfiguration. In der Praxis bedeutet das, dass alle aktuellen Versionen von Linux-Distributionen und BSDs betroffen sein dürften, die sudo verwenden. Mehrere Distributionen haben aktualisierte Pakete bereitgestellt, die Nutzer möglichst zeitnah installieren sollten. sudo 1.9.5p2 ist abgesichert.
CVE-2021-3156 fußt auf Fehlern beim Parsen von sudo-Befehlseingaben, mit denen sich ein Heap-basierter Pufferüberlauf herbeiführen lässt. Der Exploit basiert laut Beschreibungen auf der Eingabe des Befehls “sudoedit -s”, gefolgt von einem speziellen, auf einen einzelnen Backslash endenden Befehlszeilenargument.
Details finden sich hier
- Qualys Security Advisory (vollständige Angriffsbeschreibung und PoC)
- Qualys Blogeintrag: Heap-Based Buffer Overflow in Sudo
- CVE-2021-3156: Eintrag in der National Vulnerability Database
Um das eigene System auf Verwundbarkeit zu testen, kann man laut Qualys nach dem Anmelden ohne Root-Privilegien versuchen, den Befehl “sudoedit -s /” (nicht wie im Video ein Backslash) auszuführen. Falls das System verwundbar ist, werde ein Fehler angezeigt, der mit “sudoedit:” beginne. Falls es nicht verwundbar ist, werde ebenfalls eine Fehlermeldung angezeigt – allerdings mit “usage:” am Anfang.
Aktuelle Informationen verschiedener Distributionen und Hersteller finden Sie unter anderem hier:
- Amazon Linux Security Center
- Arch Linux Advisory zu CVE-2021-3156
- Debian Security-Tracker
- Fedora 33 Update: sudo-1.9.5p2-1.fc33
- FreeBSD-Bugtracker-Eintrag
- Gentoo LInux Advisory
- openSUSE Leap (15.1 / 15.2)
- Red Hat Customer Portal: RHEL-Updates
- SUSE Produkte
- Ubuntu-Updates zu CVE-2021-3156
- QNAP: Advisory für NAS (SSH und Telnet deaktivieren, wenn nicht benötigt)
Quellen: