Zwei Sicherheitslücken in Sudo entdeckt

News, Security 9 Kommentare

Sudo wird von fast allen Linux-Distributionen verwendet, um Prozesse mit den Rechten eines anderen Benutzers, meist dem Superuser root, auszuführen. Bereits häufiger war Sudo von Sicherheitslücken betroffen. Jetzt wurden zwei Schwachstellen entdeckt, von denen eine bereits 2011 eingeschleppt wurde. Die beiden Lücken wurden als CVE-2021-3156 und CVE-2021-23239 katalogisiert. Die Erste der beiden Lücken hat einen [wiki title=”CVSS”]CVSS-Score[/wiki] von 7.0 was der allgemeinen Einordnung als high entspricht, die Zweite hat einen Score von 2,5, was als low einzuordnen ist

Pufferüberlauf

Bei der von Sicherheitsforschern von Qualsys entdeckten Schwachstelle CVE-2021-3156 handelt es sich um einen Heap-Based Buffer Overflow, also einen Überlauf in der dynamischen Speicherverwaltung. Es wurde entdeckt, dass Sudo beim Parsen von Befehlszeilen den Speicher nicht korrekt behandelt. Ein lokaler Angreifer, egal ob mit Sudo-Rechten ausgestattet oder nicht, könnte dieses Problem ohne Authentifizierung ausnutzen, um unbeabsichtigten Zugriff auf das Administratorkonto erhalten. Betroffen sind die älteren Versionen von 1.82 – 1.8.31p2 und aktuelle Versionen von 1.9.0 – 1.9.5p1. Somit sind alle aktuellen Ausgaben von Distributionen betroffen, die Sudo einsetzen. Darunter sind Ubuntu 20.04 LTS und 20.10, Fedora 33 und Debian 10 sowie RHEL und SUSE Enterprise.

Sudoedit

Bei der zweiten Schwachstelle CVE-2021-23239 kann ein lokaler Angreifer in der Komponente sudoedit
eine Race Condition auslösen, die bei der Überprüfung von Verzeichnisberechtigungen dazu führt, dass Dateirechte umgangen werden. Ein lokaler Angreifer könnte dieses Problem ausnutzen, Dateirechte zu umgehen, um festzustellen, ob ein Verzeichnis existiert oder nicht.

Zeitnah aktualisieren!

Zum jetzigen Zeitpunkt haben Arch, Ubuntu, Debian, FreeBSD, Fedora und Red Hat und andere die Lücken bereits geschlossen. Nutzer sind dringend aufgefordert, ihre Systeme sobald als möglich zu aktualisieren und eine angebotene Sudo-Version höher als 1.9.5p1 einzuspielen. Eine Alternative zu Sudo kann doas sein.

Teilt den Beitrag, falls ihr mögt

9 Kommentare

  1. Linus Torvald sollte die Änderung im Linux Kernel zurücknehmen, wo er den Code entfernte, der das rückwärtsblättern (hochscrollen) in einer normalen ttty Konsole ohne grafische X Umgebung erlaubte.

    Seit dem das Feature seit ein paar Monaten draußen ist, bin ich öfters gezwungen, root Sachen unter einer su und sudo Umgebung unter einer ebenso unsicheren grafischen X Umgebung zu erledigen.

    0 
  3. perko@police %eix -I sudo
[I] app-admin/sudo
     Available versions:  1.9.5_p2{tbz2} **9999*l {gcrypt ldap libressl nls offensive pam sasl +secure-path selinux +sendmail skey ssl sssd}
     Installed versions:  1.9.5_p2{tbz2}(03:35:59 27/01/21)(offensive pam secure-path ssl -gcrypt -ldap -libressl -nls -sasl -selinux -sendmail -skey -sssd)
     Homepage:            https://www.sudo.ws/
     Description:         Allows users or groups to run commands as other users

    Erfreulich festzustellen dass man nach der Nachricht bei Linuxnews, kurz überprüft und das System teilt einem mit, alles bereits erledigt. seit 3:35 heute nachts.

    0

    1. Die beiden CVEs werden im changelog erwähnt und sind grundsätzlich auch schon ein paar Tage bekannt:

      Laut blog.qualys.com:

      Disclosure Timeline:

      • 2021-01-13: Advisory sent to Todd.Miller@sudo
      • 2021-01-19: Advisory and patches sent to distros@openwall
      • 2021-01-26: Coordinated Release Date (6:00 PM UTC)
      1

  5. Wann wird diese Bloatware endlich beerdigt? Zumal es mit doas eine valide Alternative gäbe, wenn einem su nicht ausreichen sollte. Allein das sudo angesichts horrender Sicherheitslücken bislang, überhaupt vorinstalliert und demnach fahrlässig eingerichtet wird, hinterlässt einen bitteren Nachgeschmack hinsichtlich diverser Linux-Distributionen. Da kann man sich auch gleich ins eigene Bein schießen.

    -4

Kommentar hinterlassen