sudo CVE-2021-3156 - Linux

By Suhail Hany
at 2021-01-27T22:23

Table of Contents

※ [本文轉錄自 NetSecurity 看板 #1W4MUNUP ]

作者: CMJ0121 (不要偷 Q) 看板: NetSecurity
標題: [情報] sudo CVE-2021-3156
時間: Wed Jan 27 21:16:04 2021

簡單來說呢有在使用 sudo 的環境記得升級一下 sudo 版本

中文版本文章[0]表示有研究人員發現 sudo 有 heap overflow[1] 的狀況

適用情境包含所有系統內的使用者 (含非 sudoer)

所以這個漏洞應該是很好用 (?)

另外最近在玩 root-me 其中有一關[2]是滿滿的 sudo 誤用的情況

玩到現在的心得就是不要給 sudo 權限就對了

[0]: https://www.ithome.com.tw/news/142469
[1]: https://en.wikipedia.org/wiki/Heap_overflow
[2]: https://www.root-me.org/en/Challenges/App-Script/Bash-Restricted-shells

--

Tags: Linux

All Comments

By Kama
at 2021-01-31T17:10

Debian, Ubuntu, SUSE, RHEL 都 patch 了, CentOS 不管
哪個系列的再等等或是自己抓 git.centos.org 的 patch
下來從 SRPM 重編

By Belly
at 2021-02-04T11:56

今天看新聞好像也是陳年漏洞 (X

By Joe
at 2021-02-08T06:43

不過也是最近才揭露的，昨天patch了

By Jacob
at 2021-02-12T01:29

CentOS 7 已更新

By Faithe
at 2021-02-15T20:16

原來 sudo 比 root 還危險！:p

By Wallis
at 2021-02-19T15:02

對 CentOS 都更新了

By Noah
at 2021-02-23T09:49

root只有root本人犯錯,sudo增加更多人可以犯錯,確實比較
危險 (誤)

By Anonymous
at 2021-02-27T04:36

小的我跳出來回一下我當初的意思我玩到後來偏好 sudo
就全開權限、不要只開部分程式權限

By Harry
at 2021-03-02T23:22

另外 sudo 的好處就是紀錄哪個人執行高權限指令

By Ula
at 2021-03-06T18:09

@CMJ0121 看怎麼使用，及視所處層次而定。但把root

By Carol
at 2021-03-10T12:55

掉，我覺得不是很好的做法。請參考以下文章：

By Michael
at 2021-03-14T07:42

https://tinyurl.com/y9tuzpa4
s/root掉/root拿掉/

By Rebecca
at 2021-03-18T02:28

doas 有比 sudo 安全嗎？我看一個叫 Mental Outlaw
的 YouTuber 一直推薦

By Ophelia
at 2021-03-21T21:15

之前他就推過，這次出事他馬上跳出來呼籲

By Queena
at 2021-03-25T16:01

還好我都沒在用sudo

By Anonymous
at 2021-03-29T10:48

@S\d.* 工具只是工具，看怎麼用，有洞就補起來。

By Gilbert
at 2021-04-02T05:34

OpenSSL 不是號稱安全嗎？結果爆出血來，補都來不及
所以才會有 LibreSSL 出來。

By Brianna
at 2021-04-06T00:21

不相信doas也要相信OpenBSD吧

By Eden
at 2021-04-09T19:08

是在說用工具的態度問題，不是在說 doas 不好。

By Selena
at 2021-04-13T13:54

LibreSSL 就是 OpwnBSD 從 OpenSSl fork 出來的。

By Donna
at 2021-04-17T08:41

s/OpwnBSD/OpenBSD/

By Kumar
at 2021-04-21T03:27

我覺得功能類似 sudo 的工具都可以瞭解一下, doas 或是

By Mia
at 2021-04-24T22:14

紅帽常在桌面環境用的 polkit 也可以大概知道一下

By Rachel
at 2021-04-28T17:00

那麼各大發行版怎麼不預設用 doas？

By Ophelia
at 2021-05-02T11:47

2015 才出現，雖馬上就 port 到 linux(OpenDoas)

By Erin
at 2021-05-06T06:33

可能還要觀察吧？但 arch/gentoo/void 有提供。

By Jacky
at 2021-05-10T01:20

各大發行版怎麼不預設nftables偋棄iptables?

By Sarah
at 2021-05-13T20:07

怎麼不預設gcc 10? 怎麼不預設suckless WM還在DE?

By Yedda
at 2021-05-17T14:53

CentOS 8 把 iptables 丟了啊

By Rosalind
at 2021-05-21T09:40

啊就先遣隊呀！XD

By Gary
at 2021-05-25T04:26

其實 Debian >=10 和 CentOS >=8 都轉 nftables 了..
Ubuntu 因為自家的一些東西還有 issue 還沒在 LTS 轉

By Elvira
at 2021-05-28T23:13

debian iptables-legacy 還能裝，CentOS 8 要 rebuild

By Suhail Hany
at 2021-06-01T17:59

修正一下，debian 10 iptables-legacy 還留在 iptables
package 裡

By Regina
at 2021-06-05T12:46

什麼！連 iptables 也過時了？

By Poppy
at 2021-06-09T07:32

呃，樓上不會要用 pf 為預設吧？XD

By Wallis
at 2021-06-13T02:19

搞不好還很多人在用 ifconfig

By Gilbert
at 2021-06-16T21:05

ifconfig 也過時了？我當初在 Manjaro 很疑惑怎麼沒
這指令

By George
at 2021-06-20T15:52

看介紹感覺 nftables 好很多耶

By Brianna
at 2021-06-24T10:39

已改用 doas，設定真的簡單多了

By Agnes
at 2021-06-28T05:25

樓上，提醒一下，ports 是 ports, 不是原來的 doas

By Necoo
at 2021-07-02T00:12

曾有一 ports（不是 OpenDoas），發生過大漏洞，和原

By Adele
at 2021-07-05T18:58

來的 doas 無關。雖然很快就補好了，不過也因此給大
家留下陰影。或許裝個 OpenBSD 玩玩看？

By Erin
at 2021-07-09T13:45

@Bencrie 你是說 ipchains？

By Charlotte
at 2021-07-13T08:31

BTW, OpenDoas 比較像是 fork 而不是 port。

By Jacky
at 2021-07-17T03:18

arch 官方提供的應該是可靠的？

By Eden
at 2021-07-20T22:04

opendoas 的開發者說 AUR 的那個 doas 比較不可靠
真的嗎？

By Rebecca
at 2021-07-24T16:51

呃，這個我不予置評！:P

By Elizabeth
at 2021-07-28T11:38

能確定你裝的來源嗎？指 source 來源。

By Ursula
at 2021-08-01T06:24

如果你裝的是 Duncaen 的版本，請趕快補洞吧！
https://tinyurl.com/yxzer28v

By Hardy
at 2021-08-05T01:11

這個月 28 號發的安全通報（中國）。

By Mary
at 2021-08-08T19:57

https://tinyurl.com/y4lwn4wg

By Tristan Cohan
at 2021-08-12T14:44

ifconfig 就被 iproute2 取代掉的那個舊命令

By Ethan
at 2021-08-16T09:30

ifconfig 我知道，我的意思是 ipchains vs iptables

By Dora
at 2021-08-20T04:17

功能上比較相當。

By Liam
at 2021-08-23T23:03

我有保留一個 kernel 2.6.x 的舊系統，有 ifconfig。

By Mason
at 2021-08-27T17:50

archlinux 都有即使更新呀

By Victoria
at 2021-08-31T12:36

就是他說的
https://github.com/Duncaen/OpenDoas/issues/50#iss
uecomment-770243361

By Franklin
at 2021-09-04T07:23

嗯，我剛剛查了一下，arch 在 29 號就更新了，動作很

By Jack
at 2021-09-08T02:10

快。AUR 的版本就是 FreeBSD 採用的版本。參與者多。

By Tracy
at 2021-09-11T20:56

也是我提到當初有大漏洞的版本。

By Yuri
at 2021-09-15T15:43

VM 裝個 OpenBSD 吧！你會愛上她的 pf。

By Kelly
at 2021-09-19T10:29

那遊戲方面呢？

By Caitlin
at 2021-09-23T05:16

好像比較難學？

By Rae
at 2021-09-27T00:02

https://tinyurl.com/l8thm9s
不過，在 OpenBSD 上玩 game 有點浪費……

By Quanna
at 2021-09-30T18:49

https://tinyurl.com/l8thm9s

By Doris
at 2021-10-04T13:35

https://openports.se/games

By Victoria
at 2021-10-08T08:22

當然是灌 VM 跑 Win10 玩 STEAM 3A 大作

By Belly
at 2021-10-12T03:09

AUR 的那個開發者說是那個作者想詆毀他們，他們後來
還把他給封鎖

By Olive
at 2021-10-15T21:55

但 Arch 又是提供 opendoas

By Bethany
at 2021-10-19T16:42

到底什麼情況

By Enid
at 2021-10-23T11:28

所以呀！我會叫你在 VM 裝個 OpenBSD 玩看看！XD

By Kama
at 2021-10-27T06:15

這裡頭牽涉到 BSD auth 整體身份認證結構，有點和
OpenBSD 綁死的那種情形。github/gitlib 還有其也的

By Sierra Rose
at 2021-10-31T01:01

repo，但最後都沒敢 release。

By Andy
at 2021-11-03T19:48

砑要選的話，我會選 Duncaen 的版本。原因是他是
Void Linux 的主要開發者之一，對 Linux 整體結構非

By Una
at 2021-11-07T14:34

常熟悉。另外他們也把 LibreSSL 到 Void 裡頭去，所
以經驗比較豐富。

By Frederica
at 2021-11-11T09:21

s/砑/硬/

By Daph Bay
at 2021-11-15T04:07

s/LibreSSL 到 Void/LibreSSL port 到 Void/

By Anonymous
at 2021-11-18T22:54

@Bencrie 如果是說在 OpenBSD 灌 VM，目前還很抱歉。

By Tom
at 2021-11-22T17:41

在 Arch 論壇上面大家一面倒地認為 Duncaen 有道理

By Oscar
at 2021-11-26T12:27

看來 slicer69 的開發方式真的有問題

By Mason
at 2021-11-30T07:14

而且 AUR 的那個是移植舊版的

By Puput
at 2021-12-04T02:00

好好吃飽，好好長大，好好讀書，好好修練，你以後就

By Zanna
at 2021-12-07T20:47

會有能力去 review 他們的 code，判斷誰是誰非。

By Delia
at 2021-12-11T15:33

看了 FreeBSD 的安裝過程和 Linux 好像

By Ingrid
at 2021-12-15T10:20

你說哪個發行版...我覺得 Linux 光不同發行版就差很多

By Agnes
at 2021-12-19T05:06

如果是說從 cd/iso copy 到 HD，這大家都很像。XD
要灌 *BSD，先了解它的碰碟配置結構，這和一般不同。

By Queena
at 2021-12-22T23:53

如果搞不清楚，現代的 *BSD 有一個 A 的選項，自動的

By Catherine
at 2021-12-26T18:40

s/碰碟/磁碟/

By Eden
at 2021-12-23T17:45

我會覺得 FreeBSD 某些安裝步驟頗像 Android_x86 (?

播放的聲音被錄進麥克風

By Jake
at 2021-01-27T15:57

系統： * openSUSE Tumbleweed 20210121 x64 * PulseAudio 收到朋友反映才知道，我電腦上播放的音效都會被混入麥克風一起送出，所以 Discord 上的朋友聽的到：我的聲音 + 我電腦上的聲音我是用耳機 + 麥克風，所以應該不會是麥克風收到喇叭聲音的這種情 ...

Void Linux 簡介

By Edwina
at 2021-01-25T20:18

Void？哪個 Void？沒錯，就是 C 裡頭的 void pointer。這就是 Void Linux 給人們的第一印象：void 指標。那麼你就可以天馬行空的想像怎麼使用 void 指標。這是一個獨立開發的 GNU/Linux distro，是從頭開始，不是從其它的 distro fo ...

makefile phony target 問題

By Valerie
at 2021-01-25T18:06

# Subdirectories to build SUBDIRS = \ radio \ video \ # RULES .PHONY : $(SUBDIRS) $(MAKEFILE_LIST) all : $(SUBDIRS) $(MAKEFILE_LIST) $( ...

新的一年，讓你更簡單的取得RHEL ♡

By Dora
at 2021-01-25T10:25

New Year, new Red Hat Enterprise Linux programs: Easier ways to access RHEL 這篇發在紅帽部落格的貼文內容是說嶄新的一年，我們即將開始許多低成本或免費的計畫，來讓支持我們的使用者取得相關紅帽企業版Linux 雖然我們趁者20 ...

求與fish同功能的POSIX相容shell

By Yuri
at 2021-01-24T08:38

最近開始嘗試 bash 以外的 shell，先嘗試了 zsh 配合 oh-my-zsh，結果套用某主題時，tty 顯示異常，可能是中文資料夾的關係，接下來試了 fish，真的太好用了，但他不是 POSIX 相容，語法不同，作者認為 POSIX 太垃圾，他的語法也確實比較好用合邏輯，但在 Lin ...

sudo CVE-2021-3156 - Linux

All Comments

Related Posts