如何修補 debian 上導致本地權限提升 CVE-2021-23239 和 CVE-2021-3156(又名 Baron Samedit)的 sudo 漏洞?
在 Linux Mint 20.1 Ulyssa 上,我收到了一個安全更新,用於修補兩個安全漏洞,這些漏洞導致所有未修補的 sudo 版本在版本之前的本地權限升級沒有密碼
1.9.5,這裡是更改日誌的一部分:sudo (1.8.31-1ubuntu1.2) focal-security; urgency=medium * SECURITY UPDATE: dir existence issue via sudoedit race - debian/patches/CVE-2021-23239.patch: fix potential directory existing info leak in sudoedit in src/sudo_edit.c. - CVE-2021-23239 * SECURITY UPDATE: heap-based buffer overflow - debian/patches/CVE-2021-3156-pre1.patch: sanity check size when converting the first record to TS_LOCKEXCL in plugins/sudoers/timestamp.c. - debian/patches/CVE-2021-3156-1.patch: reset valid_flags to MODE_NONINTERACTIVE for sudoedit in src/parse_args.c. - debian/patches/CVE-2021-3156-2.patch: add sudoedit flag checks in plugin in plugins/sudoers/policy.c. - debian/patches/CVE-2021-3156-3.patch: fix potential buffer overflow when unescaping backslashes in plugins/sudoers/sudoers.c. - debian/patches/CVE-2021-3156-4.patch: fix the memset offset when converting a v1 timestamp to TS_LOCKEXCL in plugins/sudoers/timestamp.c. - debian/patches/CVE-2021-3156-5.patch: don't assume that argv is allocated as a single flat buffer in src/parse_args.c. - CVE-2021-3156 -- Marc Deslauriers <marc.deslauriers@ubuntu.com> Tue, 19 Jan 2021 09:21:02 -0500但是在 debian Buster 上,我只收到了一個
sudo包更新。在 debian 上
sudo --version:1.8.27-1+deb10u3但在 linux mint:
sudo --version上1.8.31-1ubuntu1.2一直以來
1.8.2的Sudo 版本都會1.8.31p2受到影響。1.9.0``1.9.5p1成功利用此漏洞允許任何非特權使用者在易受攻擊的主機上獲得 root 特權。Qualys 安全研究人員已經能夠獨立驗證漏洞並開發多種漏洞利用變體,並在 Ubuntu 20.04 (Sudo 1.8.31)、Debian 10 (Sudo 1.8.27) 和 Fedora 33 (Sudo 1.9.2) 上獲得完整的 root 權限. 其他作業系統和發行版也可能被利用。
在上傳安全更新之前,是否有任何方法可以強化 debian 以避免利用 CVE-2021-23239 和 CVE-2021-3156 這兩個安全漏洞?
CVE-2021-3156 由
sudo1.8.27-1+deb10u3 修復。CVE-2021-23239 和 CVE-2021-23240 都通過 來緩解
fs.protected_symlinks,在 Debian 10 中預設設置為 1:此設置僅允許在符號連結位於粘性世界可寫目錄(例如/tmp)之外時遵循它們,或者當符號連結和跟隨者的 uid 匹配時,或者當目錄所有者與符號連結的所有者匹配時。此外,CVE-2021-23240 僅影響使用 SELinux 的系統,這不是 Debian 的預設設置。