פרצת אבטחה בsudo
-
היום סקלווי שלחו מייל:
Dear customer,
We are writing to inform you of a critical vulnerability that was recently identified in linux Sudo command. This is caused by an old bug from July 2011, that could allow privilege escalation to root access (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156).
Following the release of the patched update of Sudo, actions have been taken on our side to update all the concerned OS images, that are now available on our Scaleway platform.
We strongly recommend you to update the Linux version running on your servers, to avoid any security related issue that can be caused by the previous versions of Sudo. Your sudo version must be 1.9.5p2 or higher.
You can use the following commands for the update. For Ubuntu / Debian :
sudo apt update; sudo apt -y install sudo
For Centos / Fedora :
dnf -y update sudo
If you have any questions regarding this issue please contact our support team.
Best regardsהבעיה שאני מנסה לעדכן, ןהוא רושם לי: sudo is already the newest version (1.8.21p2-3ubuntu1.4).
הוא לא מביא לי 1.9.5p20.
ייתכן שזה רק בגרסת אובונטו אחרונה? אצלי זה שרת קצת ישן. -
@www
1.9.5p20 זה מספר הגירסה העדכנית שלsudoהמקורי.
חבילות אובונטו לא תמיד משתמשות בגירסה האחרונה של התוכנה המקורית
תוכנתsudoשנמצא בחבילת 1.8.21p2-3ubuntu1.4 עודכן עם תיקון לחולשה זו, עיין ב-changelog:
http://changelogs.ubuntu.com/changelogs/pool/main/s/sudo/sudo_1.9.1-1ubuntu1.1/changelog📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@www
1.9.5p20 זה מספר הגירסה העדכנית שלsudoהמקורי.
חבילות אובונטו לא תמיד משתמשות בגירסה האחרונה של התוכנה המקורית
תוכנתsudoשנמצא בחבילת 1.8.21p2-3ubuntu1.4 עודכן עם תיקון לחולשה זו, עיין ב-changelog:
http://changelogs.ubuntu.com/changelogs/pool/main/s/sudo/sudo_1.9.1-1ubuntu1.1/changelog@yossiz אמר בפרצת אבטחה בsudo:
@www
1.9.5p20 זה מספר הגירסה העדכנית שלsudoהמקורי.
חבילות אובונטו לא תמיד משתמשות בגירסה האחרונה של התוכנה המקורית
תוכנתsudoשנמצא בחבילת 1.8.21p2-3ubuntu1.4 עודכן עם תיקון לחולשה זו, עיין ב-changelog:
http://changelogs.ubuntu.com/changelogs/pool/main/s/sudo/sudo_1.9.1-1ubuntu1.1/changelogאבל לא עדכנתי את זה, זה מה שהיה מלכתחילה.
זה התעדכן לבד? -
@yossiz אמר בפרצת אבטחה בsudo:
@www
1.9.5p20 זה מספר הגירסה העדכנית שלsudoהמקורי.
חבילות אובונטו לא תמיד משתמשות בגירסה האחרונה של התוכנה המקורית
תוכנתsudoשנמצא בחבילת 1.8.21p2-3ubuntu1.4 עודכן עם תיקון לחולשה זו, עיין ב-changelog:
http://changelogs.ubuntu.com/changelogs/pool/main/s/sudo/sudo_1.9.1-1ubuntu1.1/changelogאבל לא עדכנתי את זה, זה מה שהיה מלכתחילה.
זה התעדכן לבד?@www אמר בפרצת אבטחה בsudo:
זה התעדכן לבד?
יכול להיות. יש חבילה בשם Unattended-upgrades שמגדיר עדכוני אבטחה אוטמטיים.
תבדוק אם קיים אצלך קובץ בנתיב:/etc/apt/apt.conf.d/20auto-upgradesגם, שים לב שהעדכון הזה שוחררה ב-19 לינואר
📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@www אמר בפרצת אבטחה בsudo:
זה התעדכן לבד?
יכול להיות. יש חבילה בשם Unattended-upgrades שמגדיר עדכוני אבטחה אוטמטיים.
תבדוק אם קיים אצלך קובץ בנתיב:/etc/apt/apt.conf.d/20auto-upgradesגם, שים לב שהעדכון הזה שוחררה ב-19 לינואר
@yossiz
קיים.
זה התוכן:APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1"; -
המעניין שהם אומרים שמדובר בבאג שדווח כבר ב2011.
אז למה רק עכשיו כולם התעוררו?המייל שלי urivpn@gmail.com
-
@yossiz
קיים.
זה התוכן:APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1"; -
@musicode הנה כל הפרטים:
https://www.openwall.com/lists/oss-security/2021/01/26/3
כתבה ממצה.ועד כמה היא חמורה
מאוד! אבל צריך איכשהו לגרום להרצה של פקודת
sudoעם פרמטרים מיוחדים. לכאורה זה לא כל כך פגיע דרך האינטרנט, זה יותר בעיה למערכות מרובות משתמשים שלמשתמשים ממשק CLI ישירה לשרת.גם, צריך להיות קצת מומחה לדעת איך לנצל את הבעיה רק לפי התיאור של הכתבה. אבל אני מאמין ש(אם אין כבר) תגיע עוד מעט ערכה מוכנת לכל script kiddie.
📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@musicode הנה כל הפרטים:
https://www.openwall.com/lists/oss-security/2021/01/26/3
כתבה ממצה.ועד כמה היא חמורה
מאוד! אבל צריך איכשהו לגרום להרצה של פקודת
sudoעם פרמטרים מיוחדים. לכאורה זה לא כל כך פגיע דרך האינטרנט, זה יותר בעיה למערכות מרובות משתמשים שלמשתמשים ממשק CLI ישירה לשרת.גם, צריך להיות קצת מומחה לדעת איך לנצל את הבעיה רק לפי התיאור של הכתבה. אבל אני מאמין ש(אם אין כבר) תגיע עוד מעט ערכה מוכנת לכל script kiddie.
@yossiz אמר בפרצת אבטחה בsudo:
@musicode הנה כל הפרטים:
https://www.openwall.com/lists/oss-security/2021/01/26/3
כתבה ממצה.החולשה של קוד פתוח...
בקוד סגור זה בפשטות לעולם לא היה מתגלה.
מצד שני אולי יש האקרים שמצליחים להשיג קוד מקור של חברות גדולות כמו מייקרסופט, וכך לייצר את הוירוסים הגדולים (שכחתי איך קוראים לזה...) -
@yossiz אמר בפרצת אבטחה בsudo:
@musicode הנה כל הפרטים:
https://www.openwall.com/lists/oss-security/2021/01/26/3
כתבה ממצה.החולשה של קוד פתוח...
בקוד סגור זה בפשטות לעולם לא היה מתגלה.
מצד שני אולי יש האקרים שמצליחים להשיג קוד מקור של חברות גדולות כמו מייקרסופט, וכך לייצר את הוירוסים הגדולים (שכחתי איך קוראים לזה...) -
-
@yossiz אמר בפרצת אבטחה בsudo:
@musicode הנה כל הפרטים:
https://www.openwall.com/lists/oss-security/2021/01/26/3
כתבה ממצה.החולשה של קוד פתוח...
בקוד סגור זה בפשטות לעולם לא היה מתגלה.
מצד שני אולי יש האקרים שמצליחים להשיג קוד מקור של חברות גדולות כמו מייקרסופט, וכך לייצר את הוירוסים הגדולים (שכחתי איך קוראים לזה...)@www אמר בפרצת אבטחה בsudo:
בקוד סגור זה בפשטות לעולם לא היה מתגלה.
הכוח של קוד פתוח.
כמו ש @yossiz אמר, יש דרך להגיע לקוד מקור או קרוב אליו גם של וינדוס,
ולעומות זאת, פה, דווקא בגלל שזה קוד פתוח, אז הקהילה שמה לב. -
@yossiz אמר בפרצת אבטחה בsudo:
אם כן יש לך עדכוני אבטחה אוטמטיים
הוי אומר שהתיקון יעודכן אוטומטי?
אין צורך לעדכן ידני? -
@חוקר אמר בפרצת אבטחה בsudo:
הוי אומר שהתיקון יעודכן אוטומטי?
אם ככה מוגדר אצלך. בדקתי אצלי וזה לא היה מוגדר לעדכן אוטומטי. (וגם אני באובונטו 19.04 ונראה לי שאין עדכון עבורו כי הוא כבר לא נתמך)
-
@yossiz אני מעדכן עדכוני אבטחה וכדומה תדיר.
ובאמת בימים האחורנים אחד העדכונים שהותקנו לי היה קשור לSUDO.
איך אני בודק שזה זה?@lindoorsos
כאן פקודה לבדוק אם אתה חשוף לפירצהתריץ:
sudoedit -s /אם הפלט הוא:
sudoedit: /: not a regular fileאתה חשוף.
אחרי תיקון הפלט אמור להיות:usage: sudoedit [-AknS] [-a type] [-C num] [-c class] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-T timeout] [-u user] file ... -
@lindoorsos
כאן פקודה לבדוק אם אתה חשוף לפירצהתריץ:
sudoedit -s /אם הפלט הוא:
sudoedit: /: not a regular fileאתה חשוף.
אחרי תיקון הפלט אמור להיות:usage: sudoedit [-AknS] [-a type] [-C num] [-c class] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-T timeout] [-u user] file ... -
@חוקר אמר בפרצת אבטחה בsudo:
הוי אומר שהתיקון יעודכן אוטומטי?
אם ככה מוגדר אצלך. בדקתי אצלי וזה לא היה מוגדר לעדכן אוטומטי. (וגם אני באובונטו 19.04 ונראה לי שאין עדכון עבורו כי הוא כבר לא נתמך)
@yossiz אמר בפרצת אבטחה בsudo:
@חוקר אמר בפרצת אבטחה בsudo:
הוי אומר שהתיקון יעודכן אוטומטי?
אם ככה מוגדר אצלך. בדקתי אצלי וזה לא היה מוגדר לעדכן אוטומטי. (וגם אני באובונטו 19.04 ונראה לי שאין עדכון עבורו כי הוא כבר לא נתמך)
אני על 18.04
הוי אומר שצריך לשדרג גרסה אבונטו?
זה משהו יורכב?
יכול לשבש עניינים? -
@yossiz אמר בפרצת אבטחה בsudo:
@חוקר אמר בפרצת אבטחה בsudo:
הוי אומר שהתיקון יעודכן אוטומטי?
אם ככה מוגדר אצלך. בדקתי אצלי וזה לא היה מוגדר לעדכן אוטומטי. (וגם אני באובונטו 19.04 ונראה לי שאין עדכון עבורו כי הוא כבר לא נתמך)
אני על 18.04
הוי אומר שצריך לשדרג גרסה אבונטו?
זה משהו יורכב?
יכול לשבש עניינים?
