centos7下sudo漏洞自动化批量修复

Linux安全工具sudo被发现应严重的基于堆缓冲区溢出,任何本地用户都可以利用该溢出。它的发现者将其命名为"Baron Samedit"。即使未在sudoers文件中列出用户,也可以利用该错误进行提权获得root用户用户。利用该漏洞不需要用户认证,此漏洞已分配为CVE-2021-3156,危险等级评分为7分。

在sudo中发现一个缺陷。在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoers和非sudoers)都可以利用此漏洞,而无需进行身份验证(即,***者不需要知道用户的密码),利用此漏洞可以用于普通用户无差别提权,漏洞对数据机密性和完整性以及系统可用性带来严重威胁。

漏洞细节

当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。如果命令在外壳模式下运行,那么sudoers策略插件将在评估sudoers策略(不希望使用转义字符)之前从参数中删除转义字符。

如果代码中的错误以未转义的反斜杠字符结尾,那么它将删除转义字符的错误会超出字符串的最后一个字符。在正常情况下,该错误将是无害的,因为sudo对命令参数中的所有反斜杠进行了转义。但是,由于在命令行解析代码中存在一个逻辑错误,导致可以使用-s或-i选项运行sudoedit,并设置一个指示启用Shell模式的标志。因为实际上没有运行命令,所以sudo不会转义特殊字符。最后,决定是否删除转义符的代码并没有检查命令是否正在实际运行,仅检查了设置了shell标志。

有关更多信息,请参阅Qualys通报(blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit)。

漏洞验证

用普通用户登陆,在shell界面执行

sudoedit -s /

如果输出为:

usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-D directory] [-g group]                [-h host] [-p prompt] [-R directory] [-T timeout] [-u user]                file ...

则系统不受影响或者已经修复了漏洞。

如果输出为:

sudoedit: /: not a regular file

则表示系统存在该漏洞。

受影响版本

Sudo 1.8.2到1.8.31p2和1.9.0到1.9.5p1均会受到影响。

根据红帽子官方调查:

红帽子企业版 6,7,8版本(对应centos 6,7 ,8),OpenShift容器平台 4.4.,4.5,4.6 版本均受影响

解决方法

安装Sudo 1.9.5p2版本或修补的供应商支持的版本。

下载官方的sudo rpm包

wget https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el7.x86_64.rpmwget https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-logsrvd-1.9.5-3.el7.x86_64.rpmwget https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-python-1.9.5-3.el7.x86_64.rpm

如果只是一台升级

rpm -Uvh sudo-.*.rpm

或者

yum -y update ./sudo-*.rpm

批量升级

打包为zip,使用ansible-playbook分发升级
mkdir -p /data/ansible/sudo/{files,handlers,vars,tasks}zip sudo195.zip ./sudo-.*.rpmmv sudo195.zip /data/ansible/sudo/files/cat > /data/ansible/sudo/tasks/main.yaml << EOF---    - name: Copy sudo rpm to host.      unarchive:        src: sudo195.zip        dest: /tmp    - name: update sudo      shell: |        yum -y update /tmp/sudo-*.rpmEOF
# tree /data/ansible/sudo//data/ansible/sudo/├── files│   └── sudo195.zip├── handlers├── tasks│   └── main.yaml└── vars

编写mail.yaml,playbook执行入口

cat > /data/ansible/main.yaml << EOF- hosts:  - all  gather_facts: no  become: yes  roles:    - sudo

执行playbook

ansible-playbook /data/ansible/main.yaml

查看升级结果

ansible all -m shell -a "sudo --version | grep version"或者ansible all -m shell -a "rpm -qa sudo"
(0)

相关推荐

  • 别让运维太忙,一文详解 Ansible 的自动化运维

    一.Ansible 概述 Ansible 是近年来越来越火的一款开源运维自动化工具,通过Ansible可以实现运维自动化,提高运维工程师的工作效率,减少人为失误.Ansible 通过本身集成的非常丰富 ...

  • 快检查一下你的sudo:无需密码就能获取root权限,还是个10年老bug

    贾浩楠 鱼羊 发自 凹非寺 量子位 报道 | 公众号 QbitAI "这可能是近期内最需要重视的sudo漏洞." 程序员都知道,一句sudo可以"为所欲为". ...

  • Ansible-下部

    ansible-playbook playbook是由一个或多个模块组成的,使用多个不同的模块,完成一件事情. ansible软件特点 可以实现批量管理 可以实现批量部署 ad-hoc(批量执行命令) ...

  • Ansible-安装配置

    主机规划 主机名称 操作系统版本 内网IP 外网IP(模拟) 安装软件 ansi-manager CentOS7.5 172.16.1.180 10.0.0.180 ansible ansi-hapr ...

  • ROOT下自动化批量APP数据备份

    保险起见,先用小米助手全局备份,仅仅支持小米手机,其他手机请忽略 非常便携的的脚本备份,有手就能操作! 前提是得有ROOT权限! https://wwi.lanzoui.com/ixHTGvq974h ...

  • 英特尔下代14nm处理器将修复漏洞:核心最多28个,频率提升

    英特尔再过一个多月应该会发布8核的Coffee Lake-S处理器了,旗舰Core i9-9900K将支持8核16线程.再下一款处理器则是高端平台的Cascade Lake,它的定位跟去年的Skyla ...

  • 一日禅:每个人都要为自己犯下的漏洞买单

    得到与失去,从来就没有一个可以量化的标准,只能靠自己内心这一把尺,去把握平衡.你是否有豁出去的魄力,是否有敢于承担最坏后果的勇气,是否有接受全盘失败的心理,如果都有,并且能为自己的决定负责,那么,就像 ...

  • 发现一款牛逼的 IDEA 插件:检测代码漏洞,一键修复!

    本插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力. 本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查 ...

  • centos7下安装yum记录(yum命令失败:cannot find a valid baseurl for repo: base/7/x86

    网上找了好久,都过时了,自己鼓捣了半天,终于安装完成,记录一下. 第一步:先看本地yum是否安装 直接linux下输入yum查看 提示这样的都是安装成功的,可以跳过安装卸载这步,直接看第四步.提示别的 ...

  • 一日禅|每个人都要为自己犯下的漏洞买单

    得到与失去,从来就没有一个可以量化的标准,只能靠自己内心这一把尺,去把握平衡. 你是否有豁出去的魄力,是否有敢于承担最坏后果的勇气,是否有接受全盘失败的心理,如果都有,并且能为自己的决定负责,那么,就 ...

  • CentOS7下安装Consul和自启动配置

    安装 1.下载Consul [root@localhost 20190903] wget https://releases.hashicorp.com/consul/0.9.3/consul_0.9. ...

  • CentOS7下利用SRS搭建直播流媒体服务器

    更多技术干货,第一时间送达 SRS is a RTMP/HLS/WebRTC/SRT/GB28181 streaming cluster, high efficiency, stable and si ...

  • CENTOS7下安装REDIS

    阅读目录 第一步:下载redis安装包 第二步:解压压缩包 第三步:yum安装gcc依赖 第四步:跳转到redis解压目录下 第五步:编译安装 1.直接启动redis 2.以后台进程方式启动redis ...