尊敬的景安用戶(hù)：

經(jīng)過(guò)我公司安全漏洞預(yù)警機(jī)制排查發(fā)現(xiàn)，RedHat官方于2021年1月27日發(fā)布sudo 緩沖區(qū)/棧溢出漏洞的風(fēng)險(xiǎn)通告，該漏洞編號(hào)為CVE-2021-3156，漏洞等級(jí)：高危，漏洞評(píng)分：7.0。特將漏洞詳情通告如下：

一、漏洞詳情

在sudo解析命令行參數(shù)的方式中發(fā)現(xiàn)了基于堆的緩沖區(qū)溢出。任何本地用戶(hù)（普通用戶(hù)和系統(tǒng)用戶(hù)，sudoer和非sudoers）都可以利用此漏洞，而無(wú)需進(jìn)行身份驗(yàn)證，攻擊者不需要知道用戶(hù)的密碼。成功利用此漏洞可以獲得root權(quán)限。目前debain已經(jīng)修復(fù)該漏洞，centos依然受到影響。

用戶(hù)可以使用如下方法進(jìn)行自查：

以非root用戶(hù)登錄系統(tǒng)，并使用命令sudoedit -s /

- 如果響應(yīng)一個(gè)以sudoedit:開(kāi)頭的報(bào)錯(cuò)，表明存在漏洞。

- 如果響應(yīng)一個(gè)以u(píng)sage:開(kāi)頭的報(bào)錯(cuò)，表明補(bǔ)丁已經(jīng)生效。

二、影響版本

- sudo:sudo: 1.8.2 - 1.8.31p2

- sudo:sudo: 1.9.0 - 1.9.5p1

三、修復(fù)建議

1．通用修復(fù)建議

下載升級(jí)sudo軟件包，官方下載鏈接為：https://www.sudo.ws/dist/

2．臨時(shí)修補(bǔ)建議

對(duì)于無(wú)法立即更新的用戶(hù)，建議使用systemtap進(jìn)行以下臨時(shí)緩解：

1) 安裝所需的systemtap軟件包和依賴(lài)項(xiàng)：

systemtap yum-utils kernel-devel-"$(uname -r)"

對(duì)于RHEL 7，使用命令安裝 kernel debuginfo：debuginfo-install -y kernel-"$(uname -r)"；對(duì)于RHEL 8，使用命令安裝 sudo debuginfo：debuginfo-install sudo。

2) 創(chuàng)建systemtap腳本（文件命名為sudoedit-block.stap）:

probe process("/usr/bin/sudo").function("main") {
       command = cmdline_args(0,0,"");
       if (strpos(command, "edit") >= 0) {
               raise(9);
       }
}

3) 使用以下命令安裝腳本：（使用root權(quán)限）

# nohup stap -g sudoedit-block.stap &

該腳本將使得易受攻擊的sudoedit二進(jìn)制文件停止工作。sudo命令仍將照常工作。上述更改在重啟后失效，必須在每次重啟后重新應(yīng)用。

4) 一旦安裝了補(bǔ)丁程序，就可以通過(guò)取消systemtap進(jìn)程來(lái)刪除systemtap腳本。例如，通過(guò)使用：

# kill -s SIGTERM 7590 (其中7590是systemtap進(jìn)程的PID)

景安網(wǎng)絡(luò)在此鄭重提示您：及時(shí)進(jìn)行sudo軟件包檢查、更新并確保補(bǔ)丁包生效，避免因未及時(shí)更新造成安全事件影響您網(wǎng)站及數(shù)據(jù)的安全性。

鄭州市景安網(wǎng)絡(luò)科技股份有限公司

2021年1月27日