【漏洞公告】Linux sudo权限漏洞(CVE-2021-3156)

公告编号:作者:USRC发布日期:2021/01/28

【漏洞公告】Linux sudo权限漏洞(CVE-2021-3156)

 

一、漏洞描述

        sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是 /etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。

 

二、漏洞信息

        漏洞编号:CVE-2021-3156

        软件包名:sudo

        漏洞评级:高危

        CVSS3.1评分:7.8

        受影响版本

                - sudo 1.8.2 - 1.8.31p2

                - sudo 1.9.0 - 1.9.5p1


三、受影响UOS版本

        UOS桌面专业版1031及之前的版本

        UOS桌面个人版1030及之前的版本

        UOS服务器企业版1031及之前的版本

 

四、漏洞检测

        检测方法如下:

                - 执行apt policy sudo查看sudo版本号是否在受影响版本范围

                - 以非root账户登录系统运行命令sudoedit -s /

        结果如下:

                - 如果输出信息以sudoedit:开头,表示受影响,需要修复。

                - 如果输出信息以usage:开头,表示已安装补丁,无需修复。


五、修复建议

        更新UOS操作系统

                - 个人版、专业版,通过控制中心-更新-检查更新-安装更新进行升级

                - 服务器企业版,可以通过终端安装更新sudo apt update && apt dist-upgrade

 

六、修复状态

        2021-01-27 确认UOS受漏洞影响

        2021-01-28 修复后sudo软件包版本为1.8.27.5-1+eagle并集成发布


七、修复验证

        通过查看操作系统版本验证,通过控制中心-系统信息-关于本机-版本查看

        通过查看sudo软件包版本验证,终端执行apt policy sudo命令查看已安装版本

        通过漏洞检测方式验证


八、相关链接

        https://security-tracker.debian.org/tracker/CVE-2021-3156

        https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156

        https://nvd.nist.gov/vuln/detail/CVE-2021-3156