sudoの脆弱性 Baron Samedit(CVE-2021-3156) の影響と対処
本ドキュメントの対象となる製品
- MIRACLE LINUX 8 Asianux Inside
- Asianux Server 7 == MIRACLE LINUX V7 for x86_64 (64bit)
- Asianux Server 4 == MIRACLE LINUX V6 for x86 (32bit)
- Asianux Server 4 == MIRACLE LINUX V6 for x86_64 (64bit)
本ドキュメントの対象となるサービス
- Linux 延長サポート for CentOS
概要
OSのシステムユーティリティであるパッケージ sudo に存在する脆弱性 CVE-2021-3156 が公開されました。
この脆弱性は、sudoers ファイル (/etc/sudoers) が存在する環境において、
悪意を持ったローカルユーザーが sudo を利用して特権昇格が可能となるという問題です。
可能な限り、早急にパッケージをアップデートすることをお勧めします。
またこの脆弱性は "Baron Samedit" という別名でも知られています。
詳細
パッケージ sudo には、ヒープベースのバッファオーバーフローが存在するため、
"sudoedit -s" と バックスラッシュ文字で終端するコマンドライン引数を通じて
ローカルユーザーへ root権限への昇格を許可してしまいます。(さらなる詳細は下記の確認方法の2番目の実行例を参照してください)
本脆弱性は、リモートからの攻撃が可能な脆弱性ではありません。
また、ログイン可能なユーザーが適切に管理されており、悪意のあるユーザー
がログインしてローカルで直接コマンドを実行可能な状態でない場合には、
本脆弱性の影響を受けることはありません。
確認方法
インストールされている sudo パッケージに脆弱性が存在するか確認するには2つの方法があります。
- パッケージのバージョンを確認する方法
- セグメンテーションフォルトでプログラムが中断することを確認する方法
パッケージのバージョンを確認する方法
$ rpm -q sudo
sudo-1.8.23-10.el7.1.x86_64
rpm コマンドの実行結果により表示されたバージョンを各ディストリビューションごとに以下の情報と比較してください。
MIRACLE LINUX 8 Asianux Inside
- CVE-2021-3156 の脆弱性が存在するバージョン
- “sudo-1.8.29-6.el8” 及び、それ以前のバージョン
- CVE-2021-3156 の脆弱性が修正されたバージョン
- “sudo-1.8.29-6.el8.1” 及び、それ以降のバージョン
Asianux Server 7 == MIRACLE LINUX V7
- CVE-2021-3156 の脆弱性が存在するバージョン
- “sudo-1.8.23-10.el7” 及び、それ以前のバージョン
- CVE-2021-3156 の脆弱性が修正されたバージョン
- “sudo-1.8.23-10.el7.1” 及び、それ以降のバージョン
Asianux Server 4 == MIRACLE LINUX V6
- CVE-2021-3156 の脆弱性が存在するバージョン
- "sudo-1.8.6p3-12.AXS4" から "sudo-1.8.6p3-29.AXS4.3" までの間のバージョン
- CVE-2021-3156 の脆弱性が修正されたバージョン
- “sudo-1.8.6p3-29.3.0.1.AXS4” 及び、それ以降のバージョン
CentOS 6
- CVE-2021-3156 の脆弱性の影響
- コミュニティからリリースされている sudo パッケージについて sudo-1.8.6p3 系列はすべて脆弱性が存在します。
CentOS 6は2020年11月30日でサポートが終了しているため、コミュニティ(CentOS Project)から修正パッケージの提供は行われません。 - sudo-1.7.2p2, sudo-1.7.4p5 系列に関して
- 本脆弱性の影響を受けない可能性がありますが、sudo パッケージには当該脆弱性以外にも CVE-2019-14287 などの重大な脆弱性が見つかっています。そのためこのバージョンを使い続けることはお勧めいたしません。
- 当社サービス Linux 延長サポート for CentOS について
- CentOS 6向けに本脆弱性の修正を含んだパッケージの準備を現在進めております。2月の第1週中にリリース予定ですので今しばらくお待ちください。
- 2021年2月1日 17時30分に “Linux延長サポート for CentOS sudo リリース案内” を配信しております。詳細はそちらをご確認ください。
セグメンテーションフォルトでプログラムが中断することを確認する方法
sudo コマンドにおいてバッファオーバーフローが発生し、セグメンテーションフォルトでプログラムが中断することを確認します。(報告元であるQualys社から開示されている確認方法です)
$ sudoedit -s '\' `perl -e 'print "A" x 65536'`
malloc(): corrupted top size
中止 (コアダンプ)
- セグメンテーションフォルト(SEGV) により、sudoが終了した場合
- 具体的には 実行結果に “malloc(): corrupted top size” と “中止 (コアダンプ)” が続けて表示された場合
- お使いの sudo は 脆弱性 CVE-2021-3156 が存在します。
- LANG設定によっては、”中止 (コアダンプ)” ではなく、”Aborted (core dumped)” と表示されることもあります、これは言語設定によって出てくるメッセージが違いますが、同一のエラーを指しています、そのため 同様にお使いの sudo には 脆弱性 CVE-2021-3156 が存在します。
当社からの案内について
MIRACLE LINUX 8 Asianux Inside
2021年1月29日 13時に “MIRACLE LINUX UPDATE INFORMATION” を配信しております。そちらをご確認ください。
TSN(Asianux Technical Support) でもパッケージのアップデート情報を掲載しています。
https://tsn.miraclelinux.com/ja/node/12516
Asianux Server 7 == MIRACLE LINUX V7
2021年1月29日 13時に “MIRACLE LINUX UPDATE INFORMATION” を配信しております。そちらをご確認ください。
TSN(Asianux Technical Support) でもパッケージのアップデート情報を掲載しています。
https://tsn.miraclelinux.com/ja/node/12507
Asianux Server 4 == MIRACLE LINUX V6
2021年1月29日 13時に “MIRACLE LINUX UPDATE INFORMATION” を配信しております。そちらをご確認ください。
TSN(Asianux Technical Support) でもパッケージのアップデート情報を掲載しています。
https://tsn.miraclelinux.com/ja/node/10951
Linux 延長サポート for CentOS
2021年1月28日 18時に “Linux 延長サポート for CentOS sudo リリース案内予告” を配信しております。詳細はそちらをご確認ください。
2021年2月1日 17時30分に “Linux延長サポート for CentOS sudo リリース案内” を配信しております。詳細はそちらをご確認ください。
アップデート方法
MIRACLE LINUX 8 Asianux Inside
dnf からアップデートが利用可能です。
TSN から 修正が含まれた RPMパッケージがダウンロード可能です、個別に rpm コマンドでアップデートが可能です。
https://tsn.miraclelinux.com/ja/node/12516
Asianux Server 7 == MIRACLE LINUX V7
yum からアップデートが利用可能です。
TSN から 修正が含まれた RPMパッケージがダウンロード可能です、個別に rpm コマンドでアップデートが可能です。
https://tsn.miraclelinux.com/ja/node/12507
Asianux Server 4 == MIRACLE LINUX V6
“Asianux Server 4 == MIRACLE LINUX V6” は、現在 yum からのみダウンロードを提供しています。
Linux 延長サポート for CentOSについて
2021年2月1日 17時30分に “Linux延長サポート for CentOS sudo リリース案内” を配信しております。詳細はそちらをご確認ください。
参考情報
CVE-2021-3156
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156
メーリングリストへの投稿: "Baron Samedit: Heap-based buffer overflow in Sudo (CVE-2021-3156)"
https://www.openwall.com/lists/oss-security/2021/01/26/3
Qualys: CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)
https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
Qualys による脆弱性の動画解説
https://vimeo.com/504872555
sudo プロジェクトの Mercurial リポジトリ
https://www.sudo.ws/repos/sudo
注意事項
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等に基づく参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
変更履歴
2021年 2月1日 パッケージのリリースに伴い、Linux延長サポート向けの案内を追記 , 表記を少し変更, ML8の脆弱性があるバージョンを修正
2021年 1月29日 初版作成