Faille SUDO CVE-2021-3156

Hello,

Une vulnérabilité majeur a été remonté par l’équipe Qualys et référencé via la CVE suivante:
https://security-tracker.debian.org/tracker/CVE-2021-3156

Un simple utilisateur avec des privilèges faibles, peut facilement s’attribuer les droits root

distribution | supportée | patchée |

  • debian 10 Buster | oui | oui
  • debian 9 stretch | oui | oui
  • debian 8 jessie | non | oui | patchée à partir du paquet fourni par sudo.ws Download Sudo | Sudo
  • debian 7 wheezy | non | oui | paquet custom, backport manuel des patchs fourni pas le paquet debian

vérifier que la faille est exploitable !

version non patché:

`krosand@systad:~` `# sudoedit -s '\' `perl -e 'print "A" x 65536'``
`*** glibc detected *** sudoedit: realloc(): invalid next size: 0x0000000001128540 ***`
`======= Backtrace: =========`
`/lib/x86_64-linux-gnu/libc` `.so.6(+0x75bb6)[0x7fc2b000fbb6]`
`/lib/x86_64-linux-gnu/libc` `.so.6(+0x7b88c)[0x7fc2b001588c]`
`/lib/x86_64-linux-gnu/libc` `.so.6(realloc+0xf0)[0x7fc2b0015ba0]`
`/lib/x86_64-linux-gnu/libc` `.so.6(+0x6ada4)[0x7fc2b0004da4]`
`/lib/x86_64-linux-gnu/libc` `.so.6(fclose+0xa7)[0x7fc2b0000a57]`
`/lib/x86_64-linux-gnu/libc` `.so.6(__vsyslog_chk+0x199)[0x7fc2b0074539]`
`/lib/x86_64-linux-gnu/libc` `.so.6(__syslog_chk+0x83)[0x7fc2b0074a13]`
`/usr/lib/sudo/sudoers` `.so(+0xc44f)[0x7fc2b09b444f]`
`/usr/lib/sudo/sudoers` `.so(+0xcf88)[0x7fc2b09b4f88]`
`/usr/lib/sudo/sudoers` `.so(+0xd98a)[0x7fc2b09b598a]`
`/usr/lib/sudo/sudoers` `.so(+0x117ea)[0x7fc2b09b97ea]`
`/usr/lib/sudo/sudoers` `.so(+0x12a20)[0x7fc2b09baa20]`
`sudoedit[0x40c847]`
`/lib/x86_64-linux-gnu/libc` `.so.6(__libc_start_main+0xfd)[0x7fc2affb8ead]`
`sudoedit[0x403a89]`
`======= Memory map: ========`
`00400000-0041a000 r-xp 00000000 fe:02 3946270                            ` `/usr/bin/sudoedit`
`0041a000-0041b000 r--p 00019000 fe:02 3946270                            ` `/usr/bin/sudoedit`
`0041b000-0041d000 rw-p 0001a000 fe:02 3946270                            ` `/usr/bin/sudoedit`
`0041d000-0041e000 rw-p 00000000 00:00 0`
`01102000-01147000 rw-p 00000000 00:00 0                                  [heap]`

patché:

krosand@systad:~ $ sudoedit -s '\' `perl -e 'print "A" x 65536'`
usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-g group] [-h
                host] [-p prompt] [-T timeout] [-u user] file ...

vérifier que votre version de sudo correspond à la dernière release pour buster « 1.8.27-1+deb10u3 »

 $ sudo apt update && apt policy sudo
>...
sudo:
  Installed: 1.8.27-1+deb10u2
  Candidate: 1.8.27-1+deb10u3  <--- version disponible
  Version table:
     1.8.27-1+deb10u3 500
        500 http://raspbian.raspberrypi.org/raspbian buster/main armhf Packages
 *** 1.8.27-1+deb10u2 100
        100 /var/lib/dpkg/status

installer la dernière version

sudo apt install sudo && apt policy sudo
  Installed: 1.8.27-1+deb10u3  <----
  Candidate: 1.8.27-1+deb10u3  
  Version table:
     1.8.27-1+deb10u3 500
        500 http://raspbian.raspberrypi.org/raspbian buster/main armhf Packages
 *** 1.8.27-1+deb10u2 100
        100 /var/lib/dpkg/status](https://)

protégé vos jeedom !

7 « J'aime »

effectivement chez moi ma box Smart était vulnérable. Après truc bête mais je n’ai qu’un utilisateur root sur l’OS, donc l’élévation des privilèges c’est moyen :slight_smile:
merci pour le rappel

Hello

Sauf énorme différence que je n’ai pas vu, les process de jeedom de la smart tournent avec un user www-data qui a les droits sudo. La différence avec un user classique, c’est juste qu’il n’y a pas moyen de s’y connecter en ssh. Donc potentiellement, là aussi il y a un risque de ce coté.

Dans les bonnes pratique de sécurité, l’accès root doit être désactivé en ssh c’est la base, il est pas trop tard pour changer :wink:

C’est pas le cas depuis debian 10 déjà ?

effectivement par défaut « PermitRootLogin » et fixé sur no

Donc en Buster et avec la mise à jour auto des failles de sécurité, on est déjà largement peinard. :smiley: