如何修补 debian 上导致本地权限提升 CVE-2021-23239 和 CVE-2021-3156(又名 Baron Samedit)的 sudo 漏洞?

如何修补 debian 上导致本地权限提升 CVE-2021-23239 和 CVE-2021-3156(又名 Baron Samedit)的 sudo 漏洞?

在 Linux Mint 20.1 Ulyssa 上,我收到了一个安全更新,用于修补两个安全缺陷,导致所有未修补的 sudo 版本之前的版本无需密码即可进行本地权限升级1.9.5,以下是更改日志的一部分:

sudo (1.8.31-1ubuntu1.2) focal-security; urgency=medium

  * SECURITY UPDATE: dir existence issue via sudoedit race
    - debian/patches/CVE-2021-23239.patch: fix potential directory existing
      info leak in sudoedit in src/sudo_edit.c.
    - CVE-2021-23239
  * SECURITY UPDATE: heap-based buffer overflow
    - debian/patches/CVE-2021-3156-pre1.patch: sanity check size when
      converting the first record to TS_LOCKEXCL in
      plugins/sudoers/timestamp.c.
    - debian/patches/CVE-2021-3156-1.patch: reset valid_flags to
      MODE_NONINTERACTIVE for sudoedit in src/parse_args.c.
    - debian/patches/CVE-2021-3156-2.patch: add sudoedit flag checks in
      plugin in plugins/sudoers/policy.c.
    - debian/patches/CVE-2021-3156-3.patch: fix potential buffer overflow
      when unescaping backslashes in plugins/sudoers/sudoers.c.
    - debian/patches/CVE-2021-3156-4.patch: fix the memset offset when
      converting a v1 timestamp to TS_LOCKEXCL in
      plugins/sudoers/timestamp.c.
    - debian/patches/CVE-2021-3156-5.patch: don't assume that argv is
      allocated as a single flat buffer in src/parse_args.c.
    - CVE-2021-3156

 -- Marc Deslauriers <[email protected]>  Tue, 19 Jan 2021 09:21:02 -0500

但在 Debian Buster 上我只收到了一个sudo软件包更新。

在 debian 上sudo --version1.8.27-1+deb10u3

但在 Linux Mint 上sudo --version::1.8.31-1ubuntu1.2

受影响的 Sudo 版本:

Sudo 版本始终1.8.2受到影响。1.8.31p21.9.01.9.5p1

优质防伪纸:

成功利用此漏洞允许任何非特权用户获得易受攻击主机的 root 权限。 Qualys 安全研究人员已经能够独立验证该漏洞并开发多种利用变体,并在 Ubuntu 20.04 (Sudo 1.8.31)、Debian 10 (Sudo 1.8.27) 和 Fedora 33 (Sudo 1.9.2) 上获得完全 root 权限。其他操作系统和发行版也可能被利用。

在上传安全更新之前,有什么方法可以强化 debian 以避免利用 2 个安全漏洞 CVE-2021-23239 和 CVE-2021-3156?

答案1

CVE-2021-3156 已修复sudo1.8.27-1+deb10u3

CVE-2021-23239 和 CVE-2021-23240 均通过 缓解fs.protected_symlinks,在 Debian 10 中默认设置为 1:此设置仅允许在粘性世界可写目录之外的符号链接(例如/tmp),或者当符号链接和追随者的 uid 匹配时,或者当目录所有者与符号链接的所有者匹配时。此外,CVE-2021-23240 仅影响使用 SELinux 的系统,这不是 Debian 中的默认设置。

相关内容