Linux sudo sérülékenység

CH azonosító: CH-14774
Cím: Linux sudo sérülékenység
Angol cím: Linux sudo Vulnerability

Publikálás dátuma: 2020.02.04.
Utolsó módosítás dátuma: 2020.02.04.


Leírás

A CVE-2019-18634 számon a Linux operációs rendszerekben használt SUDO alkalmazást érintő, közepes kockázati besorolású sérülékenység vált ismertté, amelyet kihasználva a jogosultsággal rendelkező támadó root jogosultsággal hajthat végre parancsokat.


Leírás forrása: Egyéb referencia: thehackernews.com
Leírás utolsó módosítása: 2020.02.04.


Elemzés leírás

sudo olyan alkalmazás az Linux operációs rendszereken, amely lehetővé teszi a felhasználó számára, hogy egy másik felhasználó (általában a root) jogosultságaival futtasson programokat. A szóban forgó sérülékenység akkor használható ki, ha a pwfeedback opció engedélyezve van. A pwfeedback opció vizuális visszajelzést ad (* karakterrel), miközben a felhasználó beírja a jelszavát.

Megjegyzendő, hogy a legtöbb esetben ez az opció alapbeállításként nincs engedélyezve a sudo-ban.

A hiba kihasználásához a felhasználónak nem kell sudo jogosultsággal rendelkeznie. Sikeres támadáshoz nagy mennyiségű bemeneti adatra van szükség a sudo irányába, azaz puffer túlcsordulást kell előidézni.

 

Érintettség ellenőrzése és megoldása:

  • ‘sudo -l’ parancs futtatása. Ez megmutatja, hogy a pwfeedback opció engedélyezve van-e
  • A sérülékeny komponens kikapcsolásához a sudoers konfigurációs fájljának a beállításait kell módosítani; a “Defaults pwfeedback” beállítást “Defaults !pwfeedback” -ra kell változtatni

 

Érintett verzió: 1.8.31 előtti verziók

A gyártó honlapján közzétette a hiba javítását tartalmazó szoftverfrissítést.


Elemzés leírás forrása: Egyéb referencia: securityaffairs.co
Elemzés leírás utolsó módosítása: 2020.02.04.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás pontszáma:
Kihasználhatóság pontszáma:


CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Egyéb referencia: thehackernews.com
Egyéb referencia: securityaffairs.co