sudo-haavoittuvuus

[AimoE]

Sudon haavoittuvuus mahdollistaa Unix-järjestelmissä käyttöoikeuksien korottamisen (julkaistu 28.01.2021)

Uhka on luokkaa paikallisesti, ilman kirjautumista

Eipä vielä näy ainakaan Focaliin päivitystä.

[jekku]

Debian testing (bullseye) sai.
Kai se valuu ubuntuihinkin aikanaan.

[JaniAlander]

Mun mielestä se töräytti eilen ison päivityksen ja sudo päivittyi siinä mukana. Ainakin itselle tuli moinen.

[AimoE]

Mun mielestä se töräytti eilen ison päivityksen ja sudo päivittyi siinä mukana. Ainakin itselle tuli moinen.

Mikä "se" -- Debian vain Ubuntu ja mikä Ubuntu-versio? Korjattu sudo-versio on 1.9.5p2.

[Ganymedes]

Voisiko jo tietäväinen kommentoida tätä enemmän?

Tämä vaikuttaa, uutisointimielessä, aika paljon myrskyltä vesilasissa. Eihän Windowsissa edes tarvita sudo/admin-oikeuksia systeemihaitan tekemiseen tai haittaohjelman asentamiseen. Tavallisilla oikeuksilla voi tehdä paljon ja sitä kautta urkkia lisää.

Toisaalta, siten kuin on uutisoitu, tämä on ongelma jos järjestelmään on jo päästy sisään. Jos kyse on paikallisesta käytöstä, niin eikös peli ole aina menetetty siinä vaiheessa? Jo tältä palstalta löytyy ohjeet miten järjestelmään päästään sisään ilman mitään oikeuksia, jos kone on fyysisesti käytettävissä.

Toisaalta, jos puhutaan sisäänpääsystä etänä, vaikkapa ssh:n kautta arvaamalla ja kräkkäämällä salasanan, niin sitten tilanne on jo vakavampaa ... jos tällaisen etäkäytön on itse asentanut ja käyttää typeriä salasanoja.

Vai miten tämä menee?

[AimoE]

Voisiko jo tietäväinen kommentoida tätä enemmän?

Tämä vaikuttaa, uutisointimielessä, aika paljon myrskyltä vesilasissa.

Niin no, enhän minä sitä uutisista bongannut vaan Traficomilta. Ja erikseen vielä poimin esiin sen että uhka on paikallinen. Kunhan nyt nostin esiin, kun tuo aukko on ollut olemassa jo vuoden verran. Että on näitä joskus Linuxillakin, vaikka aika harvion.

[JaniAlander]

Mun mielestä se töräytti eilen ison päivityksen ja sudo päivittyi siinä mukana. Ainakin itselle tuli moinen.

Mikä "se" -- Debian vain Ubuntu ja mikä Ubuntu-versio? Korjattu sudo-versio on 1.9.5p2.

Kubuntu 20.04 ja Ubuntu 20.04 Server ainakin sai eilispäivän päivityksessä sudo päivityksen, täytyypä mikä versio... näemmä 1.8.31

Ja juu anteeksi vaan tuli vahingossa painettua viestiisi "muokkaa" näppäintä lainauksen sijaan, me modet pystytään muokkaamaan kaikkien postauksia...

[JaniAlander]

"sudo 1.8.31 was patched, which is the normal way of handling most CVEs. The Ubuntu 20.04 package was bumped from 1.8.31-1ubuntu1.1 to 1.8.31-1ubuntu1.2 due to the patches. The 20.04 package won't be upgraded to 1.9.x."

Lähde: https://askubuntu.com/questions/1311411/upgrade-sudo-to-1-9-5p2-version-due-to-cve-2021-3156-vulnerability

Eli tuon pitäisi tosiaan korjata tuo turvallisuusongelma.

[JaniAlander]

apt list sudo näyttää onko se pätchätty versio käytössä jos on niin pitäisi tulla tämmöinen vastaus: sudo/focal-updates,focal-security,now 1.8.31-1ubuntu1.2 amd64 [asennettu,automaattinen]
sudo/focal-updates,focal-security 1.8.31-1ubuntu1.2 i386

[JaniAlander]

Voisiko jo tietäväinen kommentoida tätä enemmän?

Tämä vaikuttaa, uutisointimielessä, aika paljon myrskyltä vesilasissa. Eihän Windowsissa edes tarvita sudo/admin-oikeuksia systeemihaitan tekemiseen tai haittaohjelman asentamiseen. Tavallisilla oikeuksilla voi tehdä paljon ja sitä kautta urkkia lisää.

Toisaalta, siten kuin on uutisoitu, tämä on ongelma jos järjestelmään on jo päästy sisään. Jos kyse on paikallisesta käytöstä, niin eikös peli ole aina menetetty siinä vaiheessa? Jo tältä palstalta löytyy ohjeet miten järjestelmään päästään sisään ilman mitään oikeuksia, jos kone on fyysisesti käytettävissä.

Toisaalta, jos puhutaan sisäänpääsystä etänä, vaikkapa ssh:n kautta arvaamalla ja kräkkäämällä salasanan, niin sitten tilanne on jo vakavampaa ... jos tällaisen etäkäytön on itse asentanut ja käyttää typeriä salasanoja.

Vai miten tämä menee?

Itse tällä hetkellä AMK:in penetraatiotesti kurssilla ja siellä ilmoitettiin että tuon haavoittuuden käytöllä ei saa labratöitä läpi (työ kun sisältää testiserverille tunkeutumisen ja root oikeuksien nappaamisen), kuulemma liika helppo tehdä. Ja niillä testiservereillä on tarkoituksella jätetty tiettyjä heikkouksia simuloimaan enemmän tai vähemmän huonosti tehtyä tietoturvaa.

[Ganymedes]

Niin no, enhän minä sitä uutisista bongannut vaan Traficomilta. Ja erikseen vielä poimin esiin sen että uhka on paikallinen. Kunhan nyt nostin esiin, kun tuo aukko on ollut olemassa jo vuoden verran. Että on näitä joskus Linuxillakin, vaikka aika harvion.

OK, sorry. Tarkoitin ihan oikeitakin uutisia. Google News ja joku muukin tämän toi näkyville. Tälle palstalle tämä tietenkin kuuluu.

[AimoE]

"sudo 1.8.31 was patched, which is the normal way of handling most CVEs. The Ubuntu 20.04 package was bumped from 1.8.31-1ubuntu1.1 to 1.8.31-1ubuntu1.2 due to the patches. The 20.04 package won't be upgraded to 1.9.x."

Lähde: https://askubuntu.com/questions/1311411/upgrade-sudo-to-1-9-5p2-version-due-to-cve-2021-3156-vulnerability

Eli tuon pitäisi tosiaan korjata tuo turvallisuusongelma.

Note to self: avaa https://packages.ubuntu.com/focal/sudo ja sieltä Ubuntu-muutosloki eli https://changelogs.ubuntu.com/changelogs/pool/main/s/sudo/sudo_1.8.31-1ubuntu1.2/changelog ja sieltähän se löytyy, viittaus CVE-2021-3156-korjaukseen.

[JaniAlander]

Ja kannattaa katsoa tosiaan varsinkin jos serveriä ajaa, tuon haavoittuvuuden käyttö on ilmeisesti todella triviaali temppu...toki sillä ehdolla että on jo päässyt sisään.

[nm]

Itse tällä hetkellä AMK:in penetraatiotesti kurssilla ja siellä ilmoitettiin että tuon haavoittuuden käytöllä ei saa labratöitä läpi (työ kun sisältää testiserverille tunkeutumisen ja root oikeuksien nappaamisen), kuulemma liika helppo tehdä.

Hmm. Hieman epäilen tuota väitettä. Luin CVE:n ja Qualysin kuvauksen ongelmasta, eikä niistä käy ilmi riittävällä teknisellä tarkkuudella, miten ylivuotoa voi hyödyntää. Qualys ei itse aio julkaista koodia. Toki jossain vaiheessa joku toinen taho saattaa kehitellä exploitista oman toteutuksensa, mutta ei se aivan sormia napsauttamalla tapahdu.

Pyydä luennoitsijaa näyttämään ihan käytännössä, miten tuo onnistuu.

[JaniAlander]

Minä näin jossain nyt enää muista koko päivän selailun jälkeen missä simppelihkön skriptin. Idea joka tapauksessa on yksinkertainen buffer overflow tyylinen hyökkäys. Ajettavissa komentoriviltä ilman sen kummempia seremonioita.

Joka tapauksessa meille ilmoitettiin, että ette sitten tuolla tee sitä hommaa.

[nm]

Minä näin jossain nyt enää muista koko päivän selailun jälkeen missä simppelihkön skriptin. Idea joka tapauksessa on yksinkertainen buffer overflow tyylinen hyökkäys. Ajettavissa komentoriviltä ilman sen kummempia seremonioita.

Tuolla Qualysin blogissa on video, jossa näytetään, miten hyökkääminen tapahtuu. Hyökkäämiseen käytetty C-koodi oli reilut 4 kilotavua, ja lisäksi käytössä oli konekielinen vajaan kilotavun koodinpätkä, jolla hankittiin root-oikeudet. Varsinaisen exploitin koodia ei näytetty, eikä sen toimintaperiaatetta käyty tarkemmin läpi.

Joka tapauksessa meille ilmoitettiin, että ette sitten tuolla tee sitä hommaa.

Jos itse pitäisin kurssia, tuo olisi vapaata riistaa. Olisin vakuuttunut, ettei yksikään oppilas kykenisi tällä hetkellä hyödyntämään kyseistä haavoittuvuutta. Tilanne olisi toinen, jos valmis toteutus löytyisi netistä, mutta sellaista ei ihan kuka tahansa pykää kasaan.

[Tomin]

Hackadayn This week in security -kirjoituksessa on vähän selitetty tuota haavoituvuutta ja siellä on myös suhteellisen helppo tapa testata onko oma sudo haavoittuvainen. Tuolla komennolla näkee siis onko puskuriylivuoto jo paikattu, mutta ei sillä vielä rootiksi pääse.

https://hackaday.com/2021/01/29/this-week-in-security-sudo-database-breaches-and-ransomware/