Kategorien
Aktuelle Meldungen

Kritische Sicherheitslücke in vielen Unix-artigen Systemen

Risiko: sehr hoch

Kennung: CVE-2021-3156

Wer ist betroffen?

Betroffen sind alle Unix-artigen Systeme, welche den Befehl sudo installiert haben.

  • Folgende Versionen sind betroffen:
    • ältere Versionen von 1.8.2 bis 1.8.31p2
    • aktuelle Version von 1.9.0 to 1.9.5p1

Beschreibung

Der Befehl sudo wird von den meisten Unix-artigen System unterstützt und ermöglicht berechtigten Benutzern, Programme in einem anderen Namen und somit mit anderen Zugriffsrechten auszuführen. Somit können z.B. gezielt Benutzern Root-Rechte (Administrationsrechte) gewährt werden.

Forscher von Qualis haben eine Sicherheitslücke entdeckt mit der es auch unprivilegierten Benutzern möglich ist, Root-Rechte zu erlangen. Aus diesem Grund sollte die Sicherheitslücke schnellstmöglich behoben werden.

Ist mein System betroffen?

Durch den Befehl “sudo -V” kann festgestellt werden, ob ein System betroffen ist. Die Ausgabe im Terminal kann wie folgt aussehen.

Ermittlung der sudo-Version durch ein Terminal in einem Debian Betriebssystem.

Auf dem hier getesteten System ist eine Version mit der Nummer 1.8.27 installiert. Um die genaue Version des installierten Pakets zu erhalten, muss allerdings der Paketmanager apt mit der Option “-s” verwendet werden. Der Parameter “-s” bewirkt, dass eine Installation nur simuliert wird. Es werden also keine Änderungen am System vorgenommen.

Nach der Ausführung zeigt sich, dass die genaue Version 1.8.27-1+deb10u3 installiert ist.

Welche Pakete genau betroffen sind kann nun auf den Webseiten von Debian unter der Kennung CVE-2021-3156 herausgefunden werden.

Für die hier verwendete Version ist bereits die Sicherheitslücke geschlossen.

Maßnahmen

Folgende Maßnahmen wurden an einem Debian Buster Betriebssystem durchgeführt. Falls ein anderes System vorliegt, müssen andere Befehle oder Paketquellen verwendet werden.

Es wird empfohlen, immer aktuelle Sicherheitsupdate einzuspielen. Dazu müssen zunächst die aktuellen Paketquellen eingelesen werden.

Die Ausgabe zeigt an, dass die Paketquelle “http://security.debian.org” verwendet wird. Falls dies nicht der Fall sein sollte, ist es ratsam die Quelle hinzuzufügen. Dazu muss in der Datei /etc/apt/sources.list folgende Zeile hinzugefügt werden und noch einmal der Befehl “apt update” ausgeführt werden.

Als nächstes erfolgt die Installation der Updates durch “sudo apt upgrade”.

Ihr System sollte nun sicher sein.

Quelle:

Qualys (https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit)