Kirjoittaja Aihe: sudo-haavoittuvuus  (Luettu 2513 kertaa)

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
sudo-haavoittuvuus
« : 28.01.21 - klo:11.33 »
Sudon haavoittuvuus mahdollistaa Unix-järjestelmissä käyttöoikeuksien korottamisen (julkaistu 28.01.2021)

Uhka on luokkaa paikallisesti, ilman kirjautumista

Eipä vielä näy ainakaan Focaliin päivitystä.

jekku

  • Käyttäjä
  • Viestejä: 2624
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #1 : 28.01.21 - klo:12.25 »
Debian testing (bullseye) sai.
Kai se valuu ubuntuihinkin aikanaan.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #2 : 28.01.21 - klo:12.27 »
Mun mielestä se töräytti eilen ison päivityksen ja sudo päivittyi siinä mukana. Ainakin itselle tuli moinen.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #3 : 28.01.21 - klo:12.46 »
Mun mielestä se töräytti eilen ison päivityksen ja sudo päivittyi siinä mukana. Ainakin itselle tuli moinen.

Mikä "se" -- Debian vain Ubuntu ja mikä Ubuntu-versio? Korjattu sudo-versio on 1.9.5p2.

« Viimeksi muokattu: 28.01.21 - klo:13.44 kirjoittanut JaniAlander »

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #4 : 28.01.21 - klo:13.03 »
Voisiko jo tietäväinen kommentoida tätä enemmän?

Tämä vaikuttaa, uutisointimielessä, aika paljon myrskyltä vesilasissa. Eihän Windowsissa edes tarvita sudo/admin-oikeuksia systeemihaitan tekemiseen tai haittaohjelman asentamiseen. Tavallisilla oikeuksilla voi tehdä paljon ja sitä kautta urkkia lisää.

Toisaalta, siten kuin on uutisoitu, tämä on ongelma jos järjestelmään on jo päästy sisään. Jos kyse on paikallisesta käytöstä, niin eikös peli ole aina menetetty siinä vaiheessa? Jo tältä palstalta löytyy ohjeet miten järjestelmään päästään sisään ilman mitään oikeuksia, jos kone on fyysisesti käytettävissä.

Toisaalta, jos puhutaan sisäänpääsystä etänä, vaikkapa ssh:n kautta arvaamalla ja kräkkäämällä salasanan, niin sitten tilanne on jo vakavampaa ... jos tällaisen etäkäytön on itse asentanut ja käyttää typeriä salasanoja.

Vai miten tämä menee?

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #5 : 28.01.21 - klo:13.42 »
Voisiko jo tietäväinen kommentoida tätä enemmän?

Tämä vaikuttaa, uutisointimielessä, aika paljon myrskyltä vesilasissa.

Niin no, enhän minä sitä uutisista bongannut vaan Traficomilta. Ja erikseen vielä poimin esiin sen että uhka on paikallinen. Kunhan nyt nostin esiin, kun tuo aukko on ollut olemassa jo vuoden verran. Että on näitä joskus Linuxillakin, vaikka aika harvion.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #6 : 28.01.21 - klo:13.46 »
Mun mielestä se töräytti eilen ison päivityksen ja sudo päivittyi siinä mukana. Ainakin itselle tuli moinen.

Mikä "se" -- Debian vain Ubuntu ja mikä Ubuntu-versio? Korjattu sudo-versio on 1.9.5p2.

Kubuntu 20.04 ja Ubuntu 20.04 Server ainakin sai eilispäivän päivityksessä sudo päivityksen, täytyypä mikä versio... näemmä 1.8.31

Ja juu anteeksi vaan tuli vahingossa painettua viestiisi "muokkaa" näppäintä lainauksen sijaan, me modet pystytään muokkaamaan kaikkien postauksia...
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #7 : 28.01.21 - klo:13.47 »
"sudo 1.8.31 was patched, which is the normal way of handling most CVEs. The Ubuntu 20.04 package was bumped from 1.8.31-1ubuntu1.1 to 1.8.31-1ubuntu1.2 due to the patches. The 20.04 package won't be upgraded to 1.9.x."

Lähde: https://askubuntu.com/questions/1311411/upgrade-sudo-to-1-9-5p2-version-due-to-cve-2021-3156-vulnerability

Eli tuon pitäisi tosiaan korjata tuo turvallisuusongelma.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #8 : 28.01.21 - klo:13.53 »
apt list sudo näyttää onko se pätchätty versio käytössä jos on niin pitäisi tulla tämmöinen vastaus: sudo/focal-updates,focal-security,now 1.8.31-1ubuntu1.2 amd64 [asennettu,automaattinen]
sudo/focal-updates,focal-security 1.8.31-1ubuntu1.2 i386
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #9 : 28.01.21 - klo:14.05 »
Voisiko jo tietäväinen kommentoida tätä enemmän?

Tämä vaikuttaa, uutisointimielessä, aika paljon myrskyltä vesilasissa. Eihän Windowsissa edes tarvita sudo/admin-oikeuksia systeemihaitan tekemiseen tai haittaohjelman asentamiseen. Tavallisilla oikeuksilla voi tehdä paljon ja sitä kautta urkkia lisää.

Toisaalta, siten kuin on uutisoitu, tämä on ongelma jos järjestelmään on jo päästy sisään. Jos kyse on paikallisesta käytöstä, niin eikös peli ole aina menetetty siinä vaiheessa? Jo tältä palstalta löytyy ohjeet miten järjestelmään päästään sisään ilman mitään oikeuksia, jos kone on fyysisesti käytettävissä.

Toisaalta, jos puhutaan sisäänpääsystä etänä, vaikkapa ssh:n kautta arvaamalla ja kräkkäämällä salasanan, niin sitten tilanne on jo vakavampaa ... jos tällaisen etäkäytön on itse asentanut ja käyttää typeriä salasanoja.

Vai miten tämä menee?
Itse tällä hetkellä AMK:in penetraatiotesti kurssilla ja siellä ilmoitettiin että tuon haavoittuuden käytöllä ei saa labratöitä läpi (työ kun sisältää testiserverille tunkeutumisen ja root oikeuksien nappaamisen), kuulemma liika helppo tehdä. Ja niillä testiservereillä on tarkoituksella jätetty tiettyjä heikkouksia simuloimaan enemmän tai vähemmän huonosti tehtyä tietoturvaa.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

Ganymedes

  • Käyttäjä
  • Viestejä: 3915
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #10 : 28.01.21 - klo:17.18 »
Niin no, enhän minä sitä uutisista bongannut vaan Traficomilta. Ja erikseen vielä poimin esiin sen että uhka on paikallinen. Kunhan nyt nostin esiin, kun tuo aukko on ollut olemassa jo vuoden verran. Että on näitä joskus Linuxillakin, vaikka aika harvion.

OK, sorry. Tarkoitin ihan oikeitakin uutisia. Google News ja joku muukin tämän toi näkyville. Tälle palstalle tämä tietenkin kuuluu.

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #11 : 28.01.21 - klo:17.19 »
"sudo 1.8.31 was patched, which is the normal way of handling most CVEs. The Ubuntu 20.04 package was bumped from 1.8.31-1ubuntu1.1 to 1.8.31-1ubuntu1.2 due to the patches. The 20.04 package won't be upgraded to 1.9.x."

Lähde: https://askubuntu.com/questions/1311411/upgrade-sudo-to-1-9-5p2-version-due-to-cve-2021-3156-vulnerability

Eli tuon pitäisi tosiaan korjata tuo turvallisuusongelma.

Note to self: avaa https://packages.ubuntu.com/focal/sudo ja sieltä Ubuntu-muutosloki eli https://changelogs.ubuntu.com/changelogs/pool/main/s/sudo/sudo_1.8.31-1ubuntu1.2/changelog ja sieltähän se löytyy, viittaus CVE-2021-3156-korjaukseen.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #12 : 28.01.21 - klo:17.41 »
Ja kannattaa katsoa tosiaan varsinkin jos serveriä ajaa, tuon haavoittuvuuden käyttö on ilmeisesti todella triviaali temppu...toki sillä ehdolla että on jo päässyt sisään.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #13 : 28.01.21 - klo:18.08 »
Itse tällä hetkellä AMK:in penetraatiotesti kurssilla ja siellä ilmoitettiin että tuon haavoittuuden käytöllä ei saa labratöitä läpi (työ kun sisältää testiserverille tunkeutumisen ja root oikeuksien nappaamisen), kuulemma liika helppo tehdä.

Hmm. Hieman epäilen tuota väitettä. Luin CVE:n ja Qualysin kuvauksen ongelmasta, eikä niistä käy ilmi riittävällä teknisellä tarkkuudella, miten ylivuotoa voi hyödyntää. Qualys ei itse aio julkaista koodia. Toki jossain vaiheessa joku toinen taho saattaa kehitellä exploitista oman toteutuksensa, mutta ei se aivan sormia napsauttamalla tapahdu.

Pyydä luennoitsijaa näyttämään ihan käytännössä, miten tuo onnistuu.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #14 : 28.01.21 - klo:18.19 »
Minä näin jossain nyt enää muista koko päivän selailun jälkeen missä simppelihkön skriptin. Idea joka tapauksessa on yksinkertainen buffer overflow tyylinen hyökkäys. Ajettavissa komentoriviltä ilman sen kummempia seremonioita.

Joka tapauksessa meille ilmoitettiin, että ette sitten tuolla tee sitä hommaa.
« Viimeksi muokattu: 28.01.21 - klo:18.22 kirjoittanut JaniAlander »
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Vs: sudo-haavoittuvuus
« Vastaus #15 : 28.01.21 - klo:19.35 »
Minä näin jossain nyt enää muista koko päivän selailun jälkeen missä simppelihkön skriptin. Idea joka tapauksessa on yksinkertainen buffer overflow tyylinen hyökkäys. Ajettavissa komentoriviltä ilman sen kummempia seremonioita.

Tuolla Qualysin blogissa on video, jossa näytetään, miten hyökkääminen tapahtuu. Hyökkäämiseen käytetty C-koodi oli reilut 4 kilotavua, ja lisäksi käytössä oli konekielinen vajaan kilotavun koodinpätkä, jolla hankittiin root-oikeudet. Varsinaisen exploitin koodia ei näytetty, eikä sen toimintaperiaatetta käyty tarkemmin läpi.


Joka tapauksessa meille ilmoitettiin, että ette sitten tuolla tee sitä hommaa.

Jos itse pitäisin kurssia, tuo olisi vapaata riistaa. Olisin vakuuttunut, ettei yksikään oppilas kykenisi tällä hetkellä hyödyntämään kyseistä haavoittuvuutta. Tilanne olisi toinen, jos valmis toteutus löytyisi netistä, mutta sellaista ei ihan kuka tahansa pykää kasaan.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: sudo-haavoittuvuus
« Vastaus #16 : 29.01.21 - klo:19.38 »
Hackadayn This week in security -kirjoituksessa on vähän selitetty tuota haavoituvuutta ja siellä on myös suhteellisen helppo tapa testata onko oma sudo haavoittuvainen. Tuolla komennolla näkee siis onko puskuriylivuoto jo paikattu, mutta ei sillä vielä rootiksi pääse.

https://hackaday.com/2021/01/29/this-week-in-security-sudo-database-breaches-and-ransomware/
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.