在 Linux Mint 20.1 Ulyssa 上,我收到了一个安全更新,用于修补两个安全缺陷,导致所有未修补的 sudo 版本之前的版本无需密码即可进行本地权限升级1.9.5,以下是更改日志的一部分:
sudo (1.8.31-1ubuntu1.2) focal-security; urgency=medium
* SECURITY UPDATE: dir existence issue via sudoedit race
- debian/patches/CVE-2021-23239.patch: fix potential directory existing
info leak in sudoedit in src/sudo_edit.c.
- CVE-2021-23239
* SECURITY UPDATE: heap-based buffer overflow
- debian/patches/CVE-2021-3156-pre1.patch: sanity check size when
converting the first record to TS_LOCKEXCL in
plugins/sudoers/timestamp.c.
- debian/patches/CVE-2021-3156-1.patch: reset valid_flags to
MODE_NONINTERACTIVE for sudoedit in src/parse_args.c.
- debian/patches/CVE-2021-3156-2.patch: add sudoedit flag checks in
plugin in plugins/sudoers/policy.c.
- debian/patches/CVE-2021-3156-3.patch: fix potential buffer overflow
when unescaping backslashes in plugins/sudoers/sudoers.c.
- debian/patches/CVE-2021-3156-4.patch: fix the memset offset when
converting a v1 timestamp to TS_LOCKEXCL in
plugins/sudoers/timestamp.c.
- debian/patches/CVE-2021-3156-5.patch: don't assume that argv is
allocated as a single flat buffer in src/parse_args.c.
- CVE-2021-3156
-- Marc Deslauriers <[email protected]> Tue, 19 Jan 2021 09:21:02 -0500
但在 Debian Buster 上我只收到了一个sudo软件包更新。
在 debian 上sudo --version:1.8.27-1+deb10u3
但在 Linux Mint 上sudo --version::1.8.31-1ubuntu1.2
Sudo 版本始终
1.8.2受到影响。1.8.31p21.9.01.9.5p1
成功利用此漏洞允许任何非特权用户获得易受攻击主机的 root 权限。 Qualys 安全研究人员已经能够独立验证该漏洞并开发多种利用变体,并在 Ubuntu 20.04 (Sudo 1.8.31)、Debian 10 (Sudo 1.8.27) 和 Fedora 33 (Sudo 1.9.2) 上获得完全 root 权限。其他操作系统和发行版也可能被利用。
在上传安全更新之前,有什么方法可以强化 debian 以避免利用 2 个安全漏洞 CVE-2021-23239 和 CVE-2021-3156?
答案1
CVE-2021-3156 已修复sudo1.8.27-1+deb10u3。
CVE-2021-23239 和 CVE-2021-23240 均通过 缓解fs.protected_symlinks,在 Debian 10 中默认设置为 1:此设置仅允许在粘性世界可写目录之外的符号链接(例如/tmp),或者当符号链接和追随者的 uid 匹配时,或者当目录所有者与符号链接的所有者匹配时。此外,CVE-2021-23240 仅影响使用 SELinux 的系统,这不是 Debian 中的默认设置。