たくさん Qualysのセキュリティ研究者が重大な脆弱性を特定しました (CVE-2021-3156) sudoユーティリティで、他のユーザーに代わってコマンドの実行を整理するように設計されています。
脆弱性 root権限で認証されていないアクセスを許可します。 問題 すべてのユーザーが使用できます、システムグループ内の存在および/ etc / sudoersファイル内のエントリの存在に関係なく。
攻撃では、ユーザーのパスワードを入力する必要はありません。 つまり、この脆弱性は、非特権プロセス(ユーザー「nobody」で開始されたプロセスを含む)で脆弱性が侵害された後、外部の人がシステムの特権を昇格させるために使用できます。
システムの脆弱性を検索するには、コマンド「sudoedit -s /」を実行するだけで、「sudoedit:」で始まるエラーメッセージが表示された場合に脆弱性が存在します。
脆弱性について
この脆弱性は2011年XNUMX月以降に発生しており、バッファオーバーフローが原因です。 シェルモードでコマンドを実行することを目的としたパラメータの行エスケープ文字の処理。 シェルモードは、「-i」または「-s」引数を指定することで有効になり、コマンドは直接実行されませんが、「-c」フラグを使用した追加のシェル呼び出し(「sh-cコマンド」)によって実行されます。
要するに、sudoユーティリティが正常に実行されると、「-i」および「-s」オプションを指定して特殊文字をエスケープしますが、sudoeditユーティリティを開始すると、parse_args()のようにパラメータはエスケープされません。この関数は、MODE_SHELLの代わりに環境変数MODE_EDITを設定し、「valid_flags」の値をリセットしません。
次に、 エスケープされていない文字の送信により、別のエラーが表示される条件が作成されます コントローラ内で、sudoerルールをチェックする前にエスケープ文字を削除します。
ハンドラーはバックスラッシュ文字の存在を誤って解析します 行の終わりでエスケープせずに、この円記号はもうXNUMX文字エスケープし、行制限を超えてデータを読み取り続け、「user_args」バッファーにコピーし、バッファー外のメモリー領域を上書きすると見なします。
そして、sudoeditコマンドラインで値を操作しようとすると、攻撃者はデータ内の書き換え可能なキューの重ね合わせを達成して、その後の作業に影響を与える可能性があることが言及されています。
エクスプロイトの作成に加えて、攻撃者がuser_argsバッファーのサイズを完全に制御できるという事実を単純化します。これは、渡されるすべての引数のサイズに対応し、を使用してバッファーの外部に書き込まれるデータのサイズとコンテンツも制御します。環境変数。
Qualysのセキュリティ研究者は、sudo_hook_entry、service_user、およびdef_timestampdir構造のコンテンツの書き換えに基づいたXNUMXつのエクスプロイトを準備することができました。
- sudo_hook_entryを中止することにより、「SYSTEMD_BYPASS_USERDB」という名前のバイナリをrootとして実行できます。
- service_userをオーバーライドすると、rootとして任意のコードが実行されました。
- def_timestampdirをオーバーライドすることで、環境変数を含むsudoスタックの内容を/ etc / passwdファイルにフラッシュし、ユーザーをroot権限で置き換えることができました。
捜査官 エクスプロイトが機能することを示しています 完全なroot権限を取得するには Ubuntu 20.04、Debian 10、Fedora33で。
脆弱性 他のオペレーティングシステムやディストリビューションで悪用される可能性があります。 ただし、研究者の検証はUbuntu、Debian、Fedoraに限定されており、デフォルト設定のすべてのsudoバージョン1.8.2〜1.8.31p2および1.9.0〜1.9.5p1が影響を受けると述べられています。 sudo1.9.5p2で推奨される解決策。
捜査官 事前に開発者に通知している 調整された方法でパッケージアップデートをすでにリリースしているディストリビューター:Debian、RHEL、Fedor、Ubuntu、SUSE / openSUSE、Arch Linux、Slackware、Gentoo、FreeBSD。
最後に あなたがそれについてもっと知りたいのなら 脆弱性については、詳細を確認できます 次のリンクで。