ProHoster > blog > habari za mtandao > Hatari katika sudo ambayo inaruhusu upendeleo kuongezeka wakati wa kutumia sheria maalum

Hatari katika sudo ambayo inaruhusu upendeleo kuongezeka wakati wa kutumia sheria maalum

Katika matumizi Sudo, inayotumika kupanga utekelezaji wa amri kwa niaba ya watumiaji wengine, kutambuliwa kuathirika (CVE-2019-14287), ambayo hukuruhusu kutekeleza amri zilizo na haki za mizizi, ikiwa kuna sheria katika mipangilio ya sudoers ambayo katika sehemu ya hundi ya kitambulisho cha mtumiaji baada ya kuruhusu neno kuu la "ALL" kuna marufuku ya wazi ya kukimbia na haki za mizizi ("... (ZOTE, !mzizi) ..." ). Athari haionekani katika usanidi chaguo-msingi katika usambazaji.

Ikiwa sudoers ina halali, lakini ni nadra sana katika mazoezi, sheria zinazoruhusu utekelezaji wa amri fulani chini ya UID ya mtumiaji yeyote isipokuwa mzizi, mshambuliaji ambaye ana mamlaka ya kutekeleza amri hii anaweza kukwepa kizuizi kilichowekwa na kutekeleza amri na. haki za mizizi. Ili kupitisha kizuizi, jaribu tu kutekeleza amri iliyoainishwa katika mipangilio na UID "-1" au "4294967295", ambayo itasababisha utekelezaji wake na UID 0.

Kwa mfano, ikiwa kuna sheria katika mipangilio ambayo inampa mtumiaji yeyote haki ya kutekeleza programu /usr/bin/id chini ya UID yoyote:

myhost ALL = (ZOTE, !mzizi) /usr/bin/id

au chaguo ambalo linaruhusu utekelezaji tu kwa bob maalum ya mtumiaji:

myhost bob = (ZOTE, !mzizi) /usr/bin/id

Mtumiaji anaweza kutekeleza kitambulisho cha "sudo -u '#-1'" na huduma ya /usr/bin/id itazinduliwa kama mzizi, licha ya marufuku ya wazi katika mipangilio. Shida husababishwa na kupuuza maadili maalum "-1" au "4294967295", ambayo haisababishi mabadiliko katika UID, lakini kwa kuwa sudo yenyewe tayari inafanya kazi kama mzizi, bila kubadilisha UID, amri inayolengwa pia ni. ilizinduliwa na haki za mizizi.

Katika usambazaji wa SUSE na openSUSE, bila kubainisha "NOPASSWD" katika sheria, kuna uwezekano wa kuathiriwa. si ya kunyonywa, kwa kuwa katika sudoers hali ya "Defaults targetpw" imewezeshwa kwa chaguo-msingi, ambayo hukagua UID dhidi ya hifadhidata ya nenosiri na hukuhimiza kuingiza nenosiri la mtumiaji lengwa. Kwa mifumo kama hiyo, shambulio linaweza kufanywa tu ikiwa kuna sheria za fomu:

myhost ALL = (ZOTE, !mzizi) NOPASSWD: /usr/bin/id

Suala limewekwa katika toleo Sudo 1.8.28. Marekebisho pia yanapatikana katika fomu kiraka. Katika vifaa vya usambazaji, uwezekano wa kuathiriwa tayari umerekebishwa Debian, Arch Linux, SUSE/openSUSE, Ubuntu, Gentoo ΠΈ FreeBSD. Wakati wa kuandika, shida bado haijatatuliwa RHEL ΠΈ Fedora. Athari hiyo ilitambuliwa na watafiti wa usalama kutoka Apple.

Chanzo: opennet.ru

Kuongeza maoni