Sudon haavoittuvuus mahdollistaa Unix-järjestelmissä käyttöoikeuksien korottamisen | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Sudon haavoittuvuus mahdollistaa Unix-järjestelmissä käyttöoikeuksien korottamisen

28. tammikuuta 2021 klo 9.10, päivitetty 28. tammikuuta 2021 klo 16.00

Unix-käyttöjärjestelmien Sudo-ohjelmasta on löydetty vakava haavoittuvuus. Puskurin ylivuotohaavoittuvuus mahdollistaa paikallisille käyttäjille oikeuksien korottamisen pääkäyttäjän (root) tasolle ja tunnistautumisen ohittamisen. Ohjelmaan on julkaistu päivitys, joka tulee asentaa välittömästi.

Unix-käyttöjärjestelmissä on usein käytössä Sudo-ohjelma, jolla normaalitasoinen käyttäjä voi saada itselleen pääkäyttäjän (root) -tasoiset tunnukset. Qualyksen tutkijat ovat löytäneet Sudo:sta haavoittuvuuden, joka on ollut siinä jo melkein kymmenen vuoden ajan. Haavoittuvuuden hyväksikäyttäminen voi mahdollistaa hyökkääjälle root-tasoisten tunnusten saamisen haavoittuvassa järjestelmässä. Qualyksen mukaan he ovat onnistuneesti saaneet root-oikeudet Ubuntu 20.04:ssä (Sudo 1.8.31), Debian 10:ssä (Sudo 1.8.27) ja Fedora 33:ssa (Sudo 1.9.2). Muut järjestelmät ovat todennäköisesti myös haavoittuvia.

Haavoittuvuuden kohde

Kaikki vanhemmat versiot 1.8.2 -> 1.8.31p2 asti
Uudemmat versiot 1.9.0 -> 1.9.5p1 asti

Mistä on kysymys?

Päivittäkää sudo 1.9.5p2 - versioon

Komennolla "sudoedit -s /" voidaan tarkistaa onko kyseinen käyttöjärjestelmä haavoittunut. Komento tulee suorittaa normaaleilla käyttöoikeuksilla, eli ei root-tasoisilla oikeuksilla.
Mikäli järjestelmä kärsii haavoittuvuudesta, se vastaa virheellä, joka alkaa "sudoedit:"
Jos järjestelmä on päivitetty, se vastaa virheellä, joka alkaa "usage:"

Mitä voin tehdä?

1.8.2-versiota aiemmat Sudo-versiot eivät ole haavoittuvia.

Bleeping Computer: New Linux SUDO flaw lets local users gain root privileges (ulkoinen linkki)
Mitre: CVE-2021-3156 (ulkoinen linkki)
Qualys: CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

28. tammikuuta 2021 klo 16.00 Poistettu hyökkäystavasta merkintä "ilman kirjautumista"