尊敬的景安用戶：

經(jīng)過我公司安全漏洞預警機制排查發(fā)現(xiàn)，RedHat官方于2021年1月27日發(fā)布sudo 緩沖區(qū)/棧溢出漏洞的風險通告，該漏洞編號為CVE-2021-3156，漏洞等級：高危，漏洞評分：7.0。特將漏洞詳情通告如下：

一、漏洞詳情

在sudo解析命令行參數(shù)的方式中發(fā)現(xiàn)了基于堆的緩沖區(qū)溢出。任何本地用戶（普通用戶和系統(tǒng)用戶，sudoer和非sudoers）都可以利用此漏洞，而無需進行身份驗證，攻擊者不需要知道用戶的密碼。成功利用此漏洞可以獲得root權(quán)限。目前debain已經(jīng)修復該漏洞，centos依然受到影響。

用戶可以使用如下方法進行自查：

以非root用戶登錄系統(tǒng)，并使用命令sudoedit -s /

- 如果響應一個以sudoedit:開頭的報錯，表明存在漏洞。

- 如果響應一個以usage:開頭的報錯，表明補丁已經(jīng)生效。

二、影響版本

- sudo:sudo: 1.8.2 - 1.8.31p2

- sudo:sudo: 1.9.0 - 1.9.5p1

三、修復建議

1．通用修復建議

下載升級sudo軟件包，官方下載鏈接為：https://www.sudo.ws/dist/

2．臨時修補建議

對于無法立即更新的用戶，建議使用systemtap進行以下臨時緩解：

1) 安裝所需的systemtap軟件包和依賴項：

systemtap yum-utils kernel-devel-"$(uname -r)"

對于RHEL 7，使用命令安裝 kernel debuginfo：debuginfo-install -y kernel-"$(uname -r)"；對于RHEL 8，使用命令安裝 sudo debuginfo：debuginfo-install sudo。

2) 創(chuàng)建systemtap腳本（文件命名為sudoedit-block.stap）:

probe process("/usr/bin/sudo").function("main") {
       command = cmdline_args(0,0,"");
       if (strpos(command, "edit") >= 0) {
               raise(9);
       }
}

3) 使用以下命令安裝腳本：（使用root權(quán)限）

# nohup stap -g sudoedit-block.stap &

該腳本將使得易受攻擊的sudoedit二進制文件停止工作。sudo命令仍將照常工作。上述更改在重啟后失效，必須在每次重啟后重新應用。

4) 一旦安裝了補丁程序，就可以通過取消systemtap進程來刪除systemtap腳本。例如，通過使用：

# kill -s SIGTERM 7590 (其中7590是systemtap進程的PID)

景安網(wǎng)絡(luò)在此鄭重提示您：及時進行sudo軟件包檢查、更新并確保補丁包生效，避免因未及時更新造成安全事件影響您網(wǎng)站及數(shù)據(jù)的安全性。

鄭州市景安網(wǎng)絡(luò)科技股份有限公司

2021年1月27日