Alert!

Jetzt updaten: Kritische sudo-Lücke gewährt lokalen Angreifern Root-Rechte

Über die zehn Jahre alte Lücke CVE-2021-3156 können lokale Angreifer Root-Rechte via sudo ohne sudo-Berechtigungen erlangen. Es gibt Linux- und BSD-Updates.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 114 Beiträge

(Bild: Evdokimov Maxim/Shutterstock.com)

Update
Von
  • Olivia von Westernhagen

Der Befehl sudo ermöglicht auf Unix-artigen Betriebssystemen, bestimmte Befehle mit den Rechten eines anderen Benutzers, zum Beispiel auch mit denen des Superusers Root, auszuführen. Nun haben Mitarbeiter der IT-Sicherheitsfirma Qualys eine Sicherheitslücke in sudo gefunden, die von jedem lokalen Angreifer ausgenutzt werden könnte, um sich ohne Authentifizierung Root-Rechte zu verschaffen. Dazu sind laut Qualys keinerlei sudo-Berechtigungen notwendig.

Der von Qualys auch als "Baron Samedit" bezeichneten Lücke wurde die ID CVE-2021-3156 zugewiesen. Ein Artikel im Red Hat Customer Portal nennt den CVSS-Score 7.0 ("High"); die Arch Linux-Entwickler wiederum stufen die Lücke als kritisch ein. Das Sicherheitsproblem besteht laut Qualys schon seit Juli 2011 und betrifft ältere sudo-Versionen von 1.8.2 bis 1.8.31p2 sowie aktuelle Versionen von 1.9.0 bis 1.9.5p1 – jeweils in der Standardkonfiguration. In der Praxis bedeutet das, dass alle aktuellen Versionen von Linux-Distributionen und BSDs betroffen sein dürften, die sudo verwenden. Mehrere Distributionen haben aktualisierte Pakete bereitgestellt, die Nutzer möglichst zeitnah installieren sollten. sudo 1.9.5p2 ist abgesichert.

CVE-2021-3156 fußt auf Fehlern beim Parsen von sudo-Befehlseingaben, mit denen sich ein Heap-basierter Pufferüberlauf herbeiführen lässt. Der Exploit basiert laut Beschreibungen auf der Eingabe des Befehls "sudoedit -s", gefolgt von einem speziellen, auf einen einzelnen Backslash endenden Befehlszeilenargument. Bei Tests auf Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) und Fedora 33 (Sudo 1.9.2) erlangte das Forscherteam auf diesem Wege jeweils Root-Rechte.

Qualys hat sowohl eine detaillierte Beschreibung des Exploits als auch ein Video veröffentlicht, das den Angriff demonstriert.

Um das eigene System auf Verwundbarkeit zu testen, kann man laut Qualys nach dem Anmelden ohne Root-Privilegien versuchen, den Befehl "sudoedit -s /" auszuführen. Falls das System verwundbar ist, werde ein Fehler angezeigt, der mit "sudoedit:" beginne. Falls es nicht verwundbar ist, werde ebenfalls eine Fehlermeldung angezeigt – allerdings mit "usage:" am Anfang.

Update 27.01.21, 17:00: Die Schreibweise des Diagnosebefehls mit "sudoedit -s /" entstammt dem Qualys-Blogeintrag (Abschnitt "How can I test if I have vulnerable version?") und ist, wie unsere Tests mit Ubuntu und Arch Linux ergeben haben, korrekt. Im Gegensatz dazu wird im Demo-Exploit ein Backslash verwendet.

Linux- und BSD-Nutzer sollten Ausschau nach Sicherheitshinweisen zu CVE-2021-3156 sowie nach neuen sudo-Paketen halten. Aktuelle Informationen verschiedener Distributionen und Hersteller finden Sie unter anderem hier:

Update 27.01.21/28.01.21: Textergänzungen, Erweiterung der Linkliste. (ovw)