Em 26 de janeiro de 2021, a equipe de pesquisa da Qualys descobriu uma vulnerabilidade de estouro de heap em todas as versões do sudo, na qual qualquer usuário pode obter privilégios de root em um host vulnerável usando uma configuração sudo padrão, explorando esta falha.
Quando explorada, a vulnerabilidade permite que qualquer usuário, mesmo sem privilégios, obtenha privilégios de root no host afetado. Os pesquisadores de segurança da Qualys puderam verificar a o problema de forma independente e desenvolver várias variantes de exploração e obter privilégios de root completos no Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) e Fedora 33 (Sudo 1.9.2) . Outros sistemas operacionais e distribuições também podem ser explorados.
Para explorar o acesso, é necessário um usuário local. Entretanto, não é necessário que este usuário possua privilégios ou sequer faça parte da lista de sudoers, até mesmo o usuário “nobody” pode explorar a falha.
Logo após a confirmação da vulnerabilidade pela equipe de pesquisa, a Qualys se envolveu na divulgação do caso e coordenou com o autor do sudo e distribuições de código aberto para anunciar a falha.
CloudLinux e CentOS lançaram atualizações para a vulnerabilidade
Para atualizar, use o comando abaixo como usuário root:
yum update sudo -y
Para verificara se o RPM de seu servidor foi corrigido, utilize o comando abaixo:
rpm -q --changelog sudo | grep CVE-2021-3156
Você deverá ter resultados como este:
-bash-4.2 # rpm -q --changelog sudo | grep CVE-2021-3156 - CVE-2021-3156
A Qualys também está lançando os QIDs à medida que eles se tornam disponíveis a partir da versão VULNSIGS-2.5.90-4 do vulnsigs e na versão do manifesto do Linux Cloud Agent lx_manifest-2.5.90.4-3. Você pode encontrar todos os QIDs e maiores informações diretamente na fonte, clicando aqui.