Der Befehl sudo ermöglicht auf Unix-artigen Betriebssystemen, bestimmte Befehle mit den Rechten eines anderen Benutzers, zum Beispiel auch mit denen des Superusers Root, auszuführen. Nun haben Mitarbeiter der IT-Sicherheitsfirma Qualys eine Sicherheitslücke in sudo gefunden, die von jedem lokalen Angreifer ausgenutzt werden könnte, um sich ohne Authentifizierung Root-Rechte zu verschaffen. Dazu sind laut Qualys keinerlei sudo-Berechtigungen notwendig. Der von Qualys auch als "Baron Samedit" bezeichneten Lücke wurde die ID CVE-2021-3156 zugewiesen. Ein Artikel im Red Hat Customer Portal nennt den CVSS-Score 7.0 ("High"); die Arch Linux-Entwickler wiederum stufen die Lücke als kritisch ein. Das Sicherheitsproblem besteht laut Qualys schon seit Juli 2011 und betrifft ältere sudo-Versionen von 1.8.2 bis 1.8.31p2 sowie aktuelle Versionen von 1.9.0 bis 1.9.5p1 – jeweils in der Standardkonfiguration. In der Praxis bedeutet das, dass alle aktuellen Versionen von Linux-Distributionen und BSDs betroffen sein dürften, die sudo verwenden. Mehrere Distributionen haben aktualisierte Pakete bereitgestellt, die Nutzer möglichst zeitnah installieren sollten. sudo 1.9.5p2 ist abgesichert. Details zum Angriff CVE-2021-3156 fußt auf Fehlern beim Parsen von sudo-Befehlseingaben, mit denen sich ein Heap-basierter Pufferüberlauf herbeiführen lässt. Der Exploit basiert laut Beschreibungen auf der Eingabe des Befehls "sudoedit -s", gefolgt von einem speziellen, auf einen einzelnen Backslash endenden Befehlszeilenargument. Bei Tests auf Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) und Fedora 33 (Sudo 1.9.2) erlangte das Forscherteam auf diesem Wege jeweils Root-Rechte. Qualys hat sowohl eine detaillierte Beschreibung des Exploits als auch ein Video veröffentlicht, das den Angriff demonstriert. Sicherheitsupdates verfügbar Um das eigene System auf Verwundbarkeit zu testen, kann man laut Qualys nach dem Anmelden ohne Root-Privilegien versuchen, den Befehl "sudoedit -s /" auszuführen. Falls das System verwundbar ist, werde ein Fehler angezeigt, der mit "sudoedit:" beginne. Falls es nicht verwundbar ist, werde ebenfalls eine Fehlermeldung angezeigt – allerdings mit "usage:" am Anfang. Update 27.01.21, 17:00: Die Schreibweise des Diagnosebefehls mit "sudoedit -s /" entstammt dem Qualys-Blogeintrag (Abschnitt "How can I test if I have vulnerable version?") und ist, wie unsere Tests mit Ubuntu und Arch Linux ergeben haben, korrekt. Im Gegensatz dazu wird im Demo-Exploit ein Backslash verwendet. Linux- und BSD-Nutzer sollten Ausschau nach Sicherheitshinweisen zu CVE-2021-3156 sowie nach neuen sudo-Paketen halten. Aktuelle Informationen verschiedener Distributionen finden Sie unter anderem hier: Update 27.01.21, 12:02, 13:28: Textergänzungen (Test des eigenen Systems mit sudoedit, Linkliste). (ovw) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Der Befehl sudo ermöglicht auf Unix-artigen Betriebssystemen, bestimmte Befehle mit den Rechten eines anderen Benutzers, zum Beispiel auch mit denen des Superusers Root, auszuführen. Nun haben Mitarbeiter der IT-Sicherheitsfirma Qualys eine Sicherheitslücke in sudo gefunden, die von jedem lokalen Angreifer ausgenutzt werden könnte, um sich ohne Authentifizierung Root-Rechte zu verschaffen. Dazu sind laut Qualys keinerlei sudo-Berechtigungen notwendig. Der von Qualys auch als "Baron Samedit" bezeichneten Lücke wurde die ID CVE-2021-3156 zugewiesen. Ein Artikel im Red Hat Customer Portal nennt den CVSS-Score 7.0 ("High"); die Arch Linux-Entwickler wiederum stufen die Lücke als kritisch ein. Das Sicherheitsproblem besteht laut Qualys schon seit Juli 2011 und betrifft ältere sudo-Versionen von 1.8.2 bis 1.8.31p2 sowie aktuelle Versionen von 1.9.0 bis 1.9.5p1 – jeweils in der Standardkonfiguration. In der Praxis bedeutet das, dass alle aktuellen Versionen von Linux-Distributionen und BSDs betroffen sein dürften, die sudo verwenden. Mehrere Distributionen haben aktualisierte Pakete bereitgestellt, die Nutzer möglichst zeitnah installieren sollten. sudo 1.9.5p2 ist abgesichert. Details zum Angriff CVE-2021-3156 fußt auf Fehlern beim Parsen von sudo-Befehlseingaben, mit denen sich ein Heap-basierter Pufferüberlauf herbeiführen lässt. Der Exploit basiert laut Beschreibungen auf der Eingabe des Befehls "sudoedit -s", gefolgt von einem speziellen, auf einen einzelnen Backslash endenden Befehlszeilenargument. Bei Tests auf Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) und Fedora 33 (Sudo 1.9.2) erlangte das Forscherteam auf diesem Wege jeweils Root-Rechte. Qualys hat sowohl eine detaillierte Beschreibung des Exploits als auch ein Video veröffentlicht, das den Angriff demonstriert. Sicherheitsupdates verfügbar Um das eigene System auf Verwundbarkeit zu testen, kann man laut Qualys nach dem Anmelden ohne Root-Privilegien versuchen, den Befehl "sudoedit -s /" auszuführen. Falls das System verwundbar ist, werde ein Fehler angezeigt, der mit "sudoedit:" beginne. Falls es nicht verwundbar ist, werde ebenfalls eine Fehlermeldung angezeigt – allerdings mit "usage:" am Anfang. Update 27.01.21, 17:00: Die Schreibweise des Diagnosebefehls mit "sudoedit -s /" entstammt dem Qualys-Blogeintrag (Abschnitt "How can I test if I have vulnerable version?") und ist, wie unsere Tests mit Ubuntu und Arch Linux ergeben haben, korrekt. Im Gegensatz dazu wird im Demo-Exploit ein Backslash verwendet. Linux- und BSD-Nutzer sollten Ausschau nach Sicherheitshinweisen zu CVE-2021-3156 sowie nach neuen sudo-Paketen halten. Aktuelle Informationen verschiedener Distributionen finden Sie unter anderem hier: Update 27.01.21, 12:02, 13:28: Textergänzungen (Test des eigenen Systems mit sudoedit, Linkliste). (ovw) Zur Startseite