Linux

sudo CVE-2021-3156 - Linux

Suhail Hany avatarSuhail Hany · 2021-01-27

Table of Contents

※ [本文轉錄自 NetSecurity 看板 #1W4MUNUP ]

作者: CMJ0121 (不要偷 Q) 看板: NetSecurity
標題: [情報] sudo CVE-2021-3156
時間: Wed Jan 27 21:16:04 2021

簡單來說呢 有在使用 sudo 的環境記得升級一下 sudo 版本

中文版本文章[0]表示 有研究人員發現 sudo 有 heap overflow[1] 的狀況

適用情境包含所有系統內的使用者 (含非 sudoer)

所以這個漏洞應該是很好用 (?)



另外 最近在玩 root-me 其中有一關[2]是滿滿的 sudo 誤用的情況

玩到現在的心得就是 不要給 sudo 權限就對了

[0]: https://www.ithome.com.tw/news/142469
[1]: https://en.wikipedia.org/wiki/Heap_overflow
[2]: https://www.root-me.org/en/Challenges/App-Script/Bash-Restricted-shells

--
Linux

All Comments

Kama avatarKama2021-01-31
Debian, Ubuntu, SUSE, RHEL 都 patch 了, CentOS 不管
哪個系列的再等等或是自己抓 git.centos.org 的 patch
下來從 SRPM 重編
Belly avatarBelly2021-02-04
今天看新聞好像也是陳年漏洞 (X
Joe avatarJoe2021-02-08
不過也是最近才揭露的,昨天patch了
Jacob avatarJacob2021-02-12
CentOS 7 已更新
Faithe avatarFaithe2021-02-15
原來 sudo 比 root 還危險!:p
Wallis avatarWallis2021-02-19
對 CentOS 都更新了
Noah avatarNoah2021-02-23
root只有root本人犯錯,sudo增加更多人可以犯錯,確實比較
危險 (誤)
Anonymous avatarAnonymous2021-02-27
小的我跳出來回一下我當初的意思 我玩到後來偏好 sudo
就全開權限、不要只開部分程式權限
Harry avatarHarry2021-03-02
另外 sudo 的好處就是紀錄哪個人執行高權限指令
Ula avatarUla2021-03-06
@CMJ0121 看怎麼使用,及視所處層次而定。但把root
Carol avatarCarol2021-03-10
掉,我覺得不是很好的做法。請參考以下文章:
Michael avatarMichael2021-03-14
https://tinyurl.com/y9tuzpa4
s/root掉/root拿掉/
Rebecca avatarRebecca2021-03-18
doas 有比 sudo 安全嗎?我看一個叫 Mental Outlaw
的 YouTuber 一直推薦
Ophelia avatarOphelia2021-03-21
之前他就推過,這次出事他馬上跳出來呼籲
Queena avatarQueena2021-03-25
還好我都沒在用sudo
Anonymous avatarAnonymous2021-03-29
@S\d.* 工具只是工具,看怎麼用,有洞就補起來。
Gilbert avatarGilbert2021-04-02
OpenSSL 不是號稱安全嗎?結果爆出血來,補都來不及
所以才會有 LibreSSL 出來。
Brianna avatarBrianna2021-04-06
不相信doas也要相信OpenBSD吧
Eden avatarEden2021-04-09
是在說用工具的態度問題,不是在說 doas 不好。
Selena avatarSelena2021-04-13
LibreSSL 就是 OpwnBSD 從 OpenSSl fork 出來的。
Donna avatarDonna2021-04-17
s/OpwnBSD/OpenBSD/
Kumar avatarKumar2021-04-21
我覺得功能類似 sudo 的工具都可以瞭解一下, doas 或是
Mia avatarMia2021-04-24
紅帽常在桌面環境用的 polkit 也可以大概知道一下
Rachel avatarRachel2021-04-28
那麼各大發行版怎麼不預設用 doas?
Ophelia avatarOphelia2021-05-02
2015 才出現,雖馬上就 port 到 linux(OpenDoas)
Erin avatarErin2021-05-06
可能還要觀察吧?但 arch/gentoo/void 有提供。
Jacky avatarJacky2021-05-10
各大發行版怎麼不預設nftables偋棄iptables?
Sarah avatarSarah2021-05-13
怎麼不預設gcc 10? 怎麼不預設suckless WM還在DE?
Yedda avatarYedda2021-05-17
CentOS 8 把 iptables 丟了啊
Rosalind avatarRosalind2021-05-21
啊就先遣隊呀!XD
Gary avatarGary2021-05-25
其實 Debian >=10 和 CentOS >=8 都轉 nftables 了..
Ubuntu 因為自家的一些東西還有 issue 還沒在 LTS 轉
Elvira avatarElvira2021-05-28
debian iptables-legacy 還能裝,CentOS 8 要 rebuild
Suhail Hany avatarSuhail Hany2021-06-01
修正一下,debian 10 iptables-legacy 還留在 iptables
package 裡
Regina avatarRegina2021-06-05
什麼!連 iptables 也過時了?
Poppy avatarPoppy2021-06-09
呃,樓上不會要用 pf 為預設吧?XD
Wallis avatarWallis2021-06-13
搞不好還很多人在用 ifconfig
Gilbert avatarGilbert2021-06-16
ifconfig 也過時了?我當初在 Manjaro 很疑惑怎麼沒
這指令
George avatarGeorge2021-06-20
看介紹感覺 nftables 好很多耶
Brianna avatarBrianna2021-06-24
已改用 doas,設定真的簡單多了
Agnes avatarAgnes2021-06-28
樓上,提醒一下,ports 是 ports, 不是原來的 doas
Necoo avatarNecoo2021-07-02
曾有一 ports(不是 OpenDoas),發生過大漏洞,和原
Adele avatarAdele2021-07-05
來的 doas 無關。雖然很快就補好了,不過也因此給大
家留下陰影。或許裝個 OpenBSD 玩玩看?
Erin avatarErin2021-07-09
@Bencrie 你是說 ipchains?
Charlotte avatarCharlotte2021-07-13
BTW, OpenDoas 比較像是 fork 而不是 port。
Jacky avatarJacky2021-07-17
arch 官方提供的應該是可靠的?
Eden avatarEden2021-07-20
opendoas 的開發者說 AUR 的那個 doas 比較不可靠
真的嗎?
Rebecca avatarRebecca2021-07-24
呃,這個我不予置評!:P
Elizabeth avatarElizabeth2021-07-28
能確定你裝的來源嗎?指 source 來源。
Ursula avatarUrsula2021-08-01
如果你裝的是 Duncaen 的版本,請趕快補洞吧!
https://tinyurl.com/yxzer28v
Hardy avatarHardy2021-08-05
這個月 28 號發的安全通報(中國)。
Mary avatarMary2021-08-08
https://tinyurl.com/y4lwn4wg
Tristan Cohan avatarTristan Cohan2021-08-12
ifconfig 就被 iproute2 取代掉的那個舊命令
Ethan avatarEthan2021-08-16
ifconfig 我知道,我的意思是 ipchains vs iptables
Dora avatarDora2021-08-20
功能上比較相當。
Liam avatarLiam2021-08-23
我有保留一個 kernel 2.6.x 的舊系統,有 ifconfig。
Mason avatarMason2021-08-27
archlinux 都有即使更新呀
Victoria avatarVictoria2021-08-31
就是他說的
https://github.com/Duncaen/OpenDoas/issues/50#iss
uecomment-770243361
Franklin avatarFranklin2021-09-04
嗯,我剛剛查了一下,arch 在 29 號就更新了,動作很
Jack avatarJack2021-09-08
快。AUR 的版本就是 FreeBSD 採用的版本。參與者多。
Tracy avatarTracy2021-09-11
也是我提到當初有大漏洞的版本。
Yuri avatarYuri2021-09-15
VM 裝個 OpenBSD 吧!你會愛上她的 pf。
Kelly avatarKelly2021-09-19
那遊戲方面呢?
Caitlin avatarCaitlin2021-09-23
好像比較難學?
Rae avatarRae2021-09-27
https://tinyurl.com/l8thm9s
不過,在 OpenBSD 上玩 game 有點浪費……
Quanna avatarQuanna2021-09-30
https://tinyurl.com/l8thm9s
Doris avatarDoris2021-10-04
https://openports.se/games
Victoria avatarVictoria2021-10-08
當然是灌 VM 跑 Win10 玩 STEAM 3A 大作
Belly avatarBelly2021-10-12
AUR 的那個開發者說是那個作者想詆毀他們,他們後來
還把他給封鎖
Olive avatarOlive2021-10-15
但 Arch 又是提供 opendoas
Bethany avatarBethany2021-10-19
到底什麼情況
Enid avatarEnid2021-10-23
所以呀!我會叫你在 VM 裝個 OpenBSD 玩看看!XD
Kama avatarKama2021-10-27
這裡頭牽涉到 BSD auth 整體身份認證結構,有點和
OpenBSD 綁死的那種情形。github/gitlib 還有其也的
Sierra Rose avatarSierra Rose2021-10-31
repo,但最後都沒敢 release。
Andy avatarAndy2021-11-03
砑要選的話,我會選 Duncaen 的版本。原因是他是
Void Linux 的主要開發者之一,對 Linux 整體結構非
Una avatarUna2021-11-07
常熟悉。另外他們也把 LibreSSL 到 Void 裡頭去,所
以經驗比較豐富。
Frederica avatarFrederica2021-11-11
s/砑/硬/
Daph Bay avatarDaph Bay2021-11-15
s/LibreSSL 到 Void/LibreSSL port 到 Void/
Anonymous avatarAnonymous2021-11-18
@Bencrie 如果是說在 OpenBSD 灌 VM,目前還很抱歉。
Tom avatarTom2021-11-22
在 Arch 論壇上面大家一面倒地認為 Duncaen 有道理
Oscar avatarOscar2021-11-26
看來 slicer69 的開發方式真的有問題
Mason avatarMason2021-11-30
而且 AUR 的那個是移植舊版的
Puput avatarPuput2021-12-04
好好吃飽,好好長大,好好讀書,好好修練,你以後就
Zanna avatarZanna2021-12-07
會有能力去 review 他們的 code,判斷誰是誰非。
Delia avatarDelia2021-12-11
看了 FreeBSD 的安裝過程和 Linux 好像
Ingrid avatarIngrid2021-12-15
你說哪個發行版...我覺得 Linux 光不同發行版就差很多
Agnes avatarAgnes2021-12-19
如果是說從 cd/iso copy 到 HD,這大家都很像。XD
要灌 *BSD,先了解它的碰碟配置結構,這和一般不同。
Queena avatarQueena2021-12-22
如果搞不清楚,現代的 *BSD 有一個 A 的選項,自動的
Catherine avatarCatherine2021-12-26
s/碰碟/磁碟/
Eden avatarEden2021-12-23
我會覺得 FreeBSD 某些安裝步驟頗像 Android_x86 (?