CVE-2021-3156

Суть уязвимости

Уязвимость (Heap-based buffer overflow) в утилите sudo версий до 1.9.5p2. Локальный атакующий, даже не внесенный в sudoers, может выполнить специально сформированную команду, которая вызовет переполнение буфера в памяти. Это позволяет получить права root без аутентификации.

Как это используют: Атакующий выполняет в терминале команду вида sudoedit -s с особыми аргументами, что приводит к выполнению произвольного кода с привилегиями суперпользователя.

Как исправить

Необходимо обновить пакет sudo до исправленной версии.

Для Debian/Ubuntu:

# Обновите индекс пакетов и установите исправление
sudo apt update
sudo apt install --only-upgrade sudo

• Исправленные версии: 1.8.31-1ubuntu1.2, 1.9.1-1ubuntu1.1 и новее.

Для RHEL/CentOS 7/8:

# Обновите пакет sudo
sudo yum update sudo

• Исправленные версии: 1.8.23-10.el7_9.1, 1.8.29-6.el8_3.1 и новее.

Для Fedora:

sudo dnf update sudo

• Исправленная версия: 1.9.4p2-1.fc33 и новее.

Проверка версии после обновления:

sudo --version | head -1

Убедитесь, что версия соответствует исправленной для вашего дистрибутива.

Временное решение

Если немедленное обновление невозможно, ограничьте использование sudoedit (основной вектор атаки).

1. Отключите sudoedit через sudoers: Добавьте правило, запрещающее запуск sudoedit для всех пользователей. Отредактируйте файл /etc/sudoers с помощью visudo: bash sudo visudo Добавьте в конец файла строку: # Временная мера для CVE-2021-3156 Defaults !sudoedit Важно: Это может нарушить рабочие процессы, зависящие от sudoedit.

2. Контроль целостности (HIDS): Настройте правила в вашей системе обнаружения вторжений на хосте (например, OSSEC, Wazuh) для отслеживания и оповещения о попытках выполнения команд sudoedit -s с нестандартными аргументами.

Примечание: Временные меры носят ограничительный характер и не заменяют установку патча. Обновите систему при первой возможности.