Jetzt updaten: Kritische sudo-Lücke gewährt lokalen Angreifern Root-Rechte
Über die zehn Jahre alte Lücke CVE-2021-3156 können lokale Angreifer Root-Rechte via sudo ohne sudo-Berechtigungen erlangen. Es gibt Linux- und BSD-Updates.
Der Befehl sudo ermöglicht auf Unix-artigen Betriebssystemen, bestimmte Befehle mit den Rechten eines anderen Benutzers, zum Beispiel auch mit denen des Superusers Root, auszuführen. Nun haben Mitarbeiter der IT-Sicherheitsfirma Qualys eine Sicherheitslücke in sudo gefunden, die von jedem lokalen Angreifer ausgenutzt werden könnte, um sich ohne Authentifizierung Root-Rechte zu verschaffen. Dazu sind laut Qualys keinerlei sudo-Berechtigungen notwendig.
Der von Qualys auch als "Baron Samedit" bezeichneten Lücke wurde die ID CVE-2021-3156 zugewiesen. Ein Artikel im Red Hat Customer Portal nennt den CVSS-Score 7.0 ("High"); die Arch Linux-Entwickler wiederum stufen die Lücke als kritisch ein. Das Sicherheitsproblem besteht laut Qualys schon seit Juli 2011 und betrifft ältere sudo-Versionen von 1.8.2 bis 1.8.31p2 sowie aktuelle Versionen von 1.9.0 bis 1.9.5p1 – jeweils in der Standardkonfiguration. In der Praxis bedeutet das, dass alle aktuellen Versionen von Linux-Distributionen und BSDs betroffen sein dürften, die sudo verwenden. Mehrere Distributionen haben aktualisierte Pakete bereitgestellt, die Nutzer möglichst zeitnah installieren sollten. sudo 1.9.5p2 ist abgesichert.
Details zum Angriff
CVE-2021-3156 fußt auf Fehlern beim Parsen von sudo-Befehlseingaben, mit denen sich ein Heap-basierter Pufferüberlauf herbeiführen lässt. Der Exploit basiert laut Beschreibungen auf der Eingabe des Befehls "sudoedit -s", gefolgt von einem speziellen, auf einen einzelnen Backslash endenden Befehlszeilenargument. Bei Tests auf Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) und Fedora 33 (Sudo 1.9.2) erlangte das Forscherteam auf diesem Wege jeweils Root-Rechte.
Qualys hat sowohl eine detaillierte Beschreibung des Exploits als auch ein Video veröffentlicht, das den Angriff demonstriert.
- Qualys Security Advisory (vollständige Angriffsbeschreibung und PoC)
- Qualys Blogeintrag: Heap-Based Buffer Overflow in Sudo
- CVE-2021-3156: Eintrag in der National Vulnerability Database
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine Vimeo-Video (Vimeo LLC) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Vimeo LLC) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Sicherheitsupdates verfügbar
Um das eigene System auf Verwundbarkeit zu testen, kann man laut Qualys nach dem Anmelden ohne Root-Privilegien versuchen, den Befehl "sudoedit -s /" auszuführen. Falls das System verwundbar ist, werde ein Fehler angezeigt, der mit "sudoedit:" beginne. Falls es nicht verwundbar ist, werde ebenfalls eine Fehlermeldung angezeigt – allerdings mit "usage:" am Anfang.
Update 27.01.21, 17:00: Die Schreibweise des Diagnosebefehls mit "sudoedit -s /" entstammt dem Qualys-Blogeintrag (Abschnitt "How can I test if I have vulnerable version?") und ist, wie unsere Tests mit Ubuntu und Arch Linux ergeben haben, korrekt. Im Gegensatz dazu wird im Demo-Exploit ein Backslash verwendet.
Linux- und BSD-Nutzer sollten Ausschau nach Sicherheitshinweisen zu CVE-2021-3156 sowie nach neuen sudo-Paketen halten. Aktuelle Informationen verschiedener Distributionen und Hersteller finden Sie unter anderem hier:
- Amazon Linux Security Center
- Arch Linux Advisory zu CVE-2021-3156
- Debian Security-Tracker
- Fedora 33 Update: sudo-1.9.5p2-1.fc33
- FreeBSD-Bugtracker-Eintrag
- Gentoo LInux Advisory
- openSUSE Leap (15.1 / 15.2)
- Red Hat Customer Portal: RHEL-Updates
- SUSE Produkte
- Ubuntu-Updates zu CVE-2021-3156
- QNAP: Advisory für NAS (SSH und Telnet deaktivieren, wenn nicht benötigt)
Update 27.01.21/28.01.21: Textergänzungen, Erweiterung der Linkliste. (ovw)