Sudo sérülékenység

CH azonosító: CH-15088 Cím: sudo sérülékenysége Angol cím: sudo vulnerability

Publikálás dátuma: 2021.01.27. Utolsó módosítás dátuma: 2021.01.27.


Leírás

A Qualys kutató csapata felfedezett egy magas kockázati besorolású sebezhetőséget (CVE-2021-3156) a sudo programban, ami egy szinte mindenütt elérhető segédprogram a nagyobb Unix alapú rendszereknél. A biztonsági hiba kihasználásával bármely lokális felhasználó képes root szintű jogosultságot szerezni a sebezhető gazdagépen.

Leírás forrása: Egyéb referencia: blog.qualys.com Leírás utolsó módosítása: 2021.01.27.


Elemzés leírás

 

A sudo egy hatékony segédprogram, amelyet a legtöbb, ha nem az összes Unix és Linux alapú operációs rendszer tartalmaz. A segítségével a felhasználók képesek programokat futtatni akár egy másik felhasználó biztonsági privilégiumaival is. Maga a sebezhetőség 10 éven keresztül rejtőzött a forráskódban. 2011 júliusában vezették be (commit 8255ed69) és az összes korábbi verzió 1.8.2-től az 1.8.31p2-ig ─ beleértve a stable verziókat 1.9.0-től 1.9.5p1-ig ─ alapértelmezett konfigurációjában megtalálható a probléma.

A sebezhetőség sikeres kihasználásával bármely jogosultsági szinten lévő lokális felhasználó képes root jogosultságot szerezni a sebezhető gazdagépen. A Qualys biztonsági kutatói a sebezhetőséget Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27) és a Fedora 33 (sudo 1.9.2) operációs rendszerek esetében tesztelték, azonban az más operációs rendszerek és disztribúciók esetében is kihasználható lehet.

Amint a Qualys kutatócsoport megerősítette a sérülékenységet, felelősségteljesen nyilvánosságra hozta a biztonsági rést és felvette a kapcsolatot a sudo írójával és a nyílt forráskódú disztribúciókkal.

Érintett verziók:

sudo 1.8.2-től az 1.8.31p2-ig

Tekintettel a biztonsági rés támadási felületére, az NBSZ NKI azt javasolja a felhasználóknak, hogy haladéktalanul telepítsék az elérhető javításokat.

Elemzés leírás forrása: Egyéb referencia: blog.qualys.com Elemzés leírás utolsó módosítása: 2021.01.27.


Hatás

CVSS3 Severity and Metrics

Base score: 7 (Magas)
Vector: AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Impact Score:
Exploitability Score:


Attack Vector (AV): Local
Attack Complexity (AC): High
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: (Nincs)
Vector:
Impact Subscore:
Exploitability Subscore:




Hivatkozások

Egyéb referencia: blog.qualys.com
Egyéb referencia: access.redhat.com
Egyéb referencia: cve.mitre.org
Gyártói referencia: www.sudo.ws
CVE-2021-3156 - NVD CVE-2021-3156