作者holishing ( )
看板Linux
标题Fw: [情报] sudo CVE-2021-3156
时间Wed Jan 27 22:23:38 2021
※ [本文转录自 NetSecurity 看板 #1W4MUNUP ]
作者: CMJ0121 (不要偷 Q) 看板: NetSecurity
标题: [情报] sudo CVE-2021-3156
时间: Wed Jan 27 21:16:04 2021
简单来说呢 有在使用 sudo 的环境记得升级一下 sudo 版本
中文版本文章[0]表示 有研究人员发现 sudo 有 heap overflow[1] 的状况
适用情境包含所有系统内的使用者 (含非 sudoer)
所以这个漏洞应该是很好用 (?)
另外 最近在玩 root-me 其中有一关[2]是满满的 sudo 误用的情况
玩到现在的心得就是 不要给 sudo 权限就对了
[0]:
https://www.ithome.com.tw/news/142469
[1]:
https://en.wikipedia.org/wiki/Heap_overflow
[2]:
https://www.root-me.org/en/Challenges/App-Script/Bash-Restricted-shells
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.162.139.70 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1611753367.A.799.html
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: holishing (140.116.137.106 台湾), 01/27/2021 22:23:38
1F:→ holishing: Debian, Ubuntu, SUSE, RHEL 都 patch 了, CentOS 不管 01/27 22:25
2F:→ holishing: 哪个系列的再等等或是自己抓 git.centos.org 的 patch 01/27 22:25
3F:→ holishing: 下来从 SRPM 重编 01/27 22:25
4F:→ Bencrie: 今天看新闻好像也是陈年漏洞 (X 01/27 22:59
5F:推 penut85420: 不过也是最近才揭露的,昨天patch了 01/27 23:27
6F:推 ks031239: CentOS 7 已更新 01/27 23:42
7F:→ EdwardGJLee: 原来 sudo 比 root 还危险!:p 01/27 23:55
8F:→ holishing: 对 CentOS 都更新了 01/28 05:03
9F:推 bitlife: root只有root本人犯错,sudo增加更多人可以犯错,确实比较 01/28 09:27
10F:→ bitlife: 危险 (误) 01/28 09:27
11F:推 CMJ0121: 小的我跳出来回一下我当初的意思 我玩到後来偏好 sudo 01/28 13:58
12F:→ CMJ0121: 就全开权限、不要只开部分程式权限 01/28 13:58
13F:→ CMJ0121: 另外 sudo 的好处就是纪录哪个人执行高权限指令 01/28 13:59
14F:→ EdwardGJLee: @CMJ0121 看怎麽使用,及视所处层次而定。但把root 01/28 16:43
15F:→ EdwardGJLee: 掉,我觉得不是很好的做法。请参考以下文章: 01/28 16:44
17F:→ EdwardGJLee: s/root掉/root拿掉/ 01/28 16:45
18F:推 s9209122222: doas 有比 sudo 安全吗?我看一个叫 Mental Outlaw 01/28 17:50
19F:→ s9209122222: 的 YouTuber 一直推荐 01/28 17:50
20F:→ s9209122222: 之前他就推过,这次出事他马上跳出来呼吁 01/28 17:51
21F:→ OrzOGC: 还好我都没在用sudo 01/28 18:00
22F:→ EdwardGJLee: @S\d.* 工具只是工具,看怎麽用,有洞就补起来。 01/28 18:09
23F:→ EdwardGJLee: OpenSSL 不是号称安全吗?结果爆出血来,补都来不及 01/28 18:11
24F:→ EdwardGJLee: 所以才会有 LibreSSL 出来。 01/28 18:11
25F:推 btzhang2718: 不相信doas也要相信OpenBSD吧 01/29 07:59
26F:→ EdwardGJLee: 是在说用工具的态度问题,不是在说 doas 不好。 01/29 08:57
27F:→ EdwardGJLee: LibreSSL 就是 OpwnBSD 从 OpenSSl fork 出来的。 01/29 08:58
28F:→ EdwardGJLee: s/OpwnBSD/OpenBSD/ 01/29 08:59
29F:→ holishing: 我觉得功能类似 sudo 的工具都可以了解一下, doas 或是 01/29 14:12
30F:→ holishing: 红帽常在桌面环境用的 polkit 也可以大概知道一下 01/29 14:13
31F:推 s9209122222: 那麽各大发行版怎麽不预设用 doas? 01/29 21:03
32F:→ EdwardGJLee: 2015 才出现,虽马上就 port 到 linux(OpenDoas) 01/29 21:16
33F:→ EdwardGJLee: 可能还要观察吧?但 arch/gentoo/void 有提供。 01/29 21:17
34F:→ a58524andy: 各大发行版怎麽不预设nftables偋弃iptables? 01/29 21:18
35F:→ a58524andy: 怎麽不预设gcc 10? 怎麽不预设suckless WM还在DE? 01/29 21:20
36F:→ Bencrie: CentOS 8 把 iptables 丢了啊 01/29 22:43
37F:→ EdwardGJLee: 啊就先遣队呀!XD 01/30 05:25
38F:→ holishing: 其实 Debian >=10 和 CentOS >=8 都转 nftables 了.. 01/30 17:19
39F:→ holishing: Ubuntu 因为自家的一些东西还有 issue 还没在 LTS 转 01/30 17:19
40F:推 Bencrie: debian iptables-legacy 还能装,CentOS 8 要 rebuild 01/30 17:44
41F:推 Bencrie: 修正一下,debian 10 iptables-legacy 还留在 iptables 01/30 17:47
42F:→ Bencrie: package 里 01/30 17:47
43F:推 s9209122222: 什麽!连 iptables 也过时了? 01/30 20:05
44F:→ EdwardGJLee: 呃,楼上不会要用 pf 为预设吧?XD 01/30 20:57
45F:推 Bencrie: 搞不好还很多人在用 ifconfig 01/30 22:56
46F:推 s9209122222: ifconfig 也过时了?我当初在 Manjaro 很疑惑怎麽没 01/30 22:59
47F:→ s9209122222: 这指令 01/30 22:59
48F:推 s9209122222: 看介绍感觉 nftables 好很多耶 01/30 23:02
49F:推 s9209122222: 已改用 doas,设定真的简单多了 01/31 01:11
50F:→ EdwardGJLee: 楼上,提醒一下,ports 是 ports, 不是原来的 doas 01/31 14:40
51F:→ EdwardGJLee: 曾有一 ports(不是 OpenDoas),发生过大漏洞,和原 01/31 14:41
52F:→ EdwardGJLee: 来的 doas 无关。虽然很快就补好了,不过也因此给大 01/31 14:42
53F:→ EdwardGJLee: 家留下阴影。或许装个 OpenBSD 玩玩看? 01/31 14:42
54F:→ EdwardGJLee: @Bencrie 你是说 ipchains? 01/31 14:43
55F:→ EdwardGJLee: BTW, OpenDoas 比较像是 fork 而不是 port。 01/31 14:45
56F:推 s9209122222: arch 官方提供的应该是可靠的? 01/31 16:31
57F:→ s9209122222: opendoas 的开发者说 AUR 的那个 doas 比较不可靠 01/31 16:33
58F:→ s9209122222: 真的吗? 01/31 16:33
59F:→ EdwardGJLee: 呃,这个我不予置评!:P 01/31 16:50
60F:→ EdwardGJLee: 能确定你装的来源吗?指 source 来源。 01/31 16:51
61F:→ EdwardGJLee: 如果你装的是 Duncaen 的版本,请赶快补洞吧! 01/31 17:06
63F:→ EdwardGJLee: 这个月 28 号发的安全通报(中国)。 01/31 17:07
65F:推 Bencrie: ifconfig 就被 iproute2 取代掉的那个旧命令 01/31 17:27
66F:推 EdwardGJLee: ifconfig 我知道,我的意思是 ipchains vs iptables 01/31 17:42
67F:→ EdwardGJLee: 功能上比较相当。 01/31 17:43
68F:→ EdwardGJLee: 我有保留一个 kernel 2.6.x 的旧系统,有 ifconfig。 01/31 17:44
69F:推 s9209122222: archlinux 都有即使更新呀 01/31 19:05
70F:→ s9209122222: 就是他说的 01/31 19:07
72F:→ s9209122222: uecomment-770243361 01/31 19:07
73F:推 EdwardGJLee: 嗯,我刚刚查了一下,arch 在 29 号就更新了,动作很 01/31 19:25
74F:→ EdwardGJLee: 快。AUR 的版本就是 FreeBSD 采用的版本。参与者多。 01/31 19:26
75F:→ EdwardGJLee: 也是我提到当初有大漏洞的版本。 01/31 19:27
76F:→ EdwardGJLee: VM 装个 OpenBSD 吧!你会爱上她的 pf。 01/31 19:28
77F:推 s9209122222: 那游戏方面呢? 01/31 21:21
78F:推 s9209122222: 好像比较难学? 01/31 21:25
80F:→ EdwardGJLee: 不过,在 OpenBSD 上玩 game 有点浪费…… 01/31 21:36
83F:推 Bencrie: 当然是灌 VM 跑 Win10 玩 STEAM 3A 大作 01/31 21:40
84F:推 s9209122222: AUR 的那个开发者说是那个作者想诋毁他们,他们後来 02/01 00:36
85F:→ s9209122222: 还把他给封锁 02/01 00:36
86F:→ s9209122222: 但 Arch 又是提供 opendoas 02/01 00:37
87F:→ s9209122222: 到底什麽情况 02/01 00:38
88F:推 EdwardGJLee: 所以呀!我会叫你在 VM 装个 OpenBSD 玩看看!XD 02/01 05:30
89F:→ EdwardGJLee: 这里头牵涉到 BSD auth 整体身份认证结构,有点和 02/01 05:31
90F:→ EdwardGJLee: OpenBSD 绑死的那种情形。github/gitlib 还有其也的 02/01 05:31
91F:→ EdwardGJLee: repo,但最後都没敢 release。 02/01 05:32
92F:→ EdwardGJLee: 砑要选的话,我会选 Duncaen 的版本。原因是他是 02/01 05:34
93F:→ EdwardGJLee: Void Linux 的主要开发者之一,对 Linux 整体结构非 02/01 05:34
94F:→ EdwardGJLee: 常熟悉。另外他们也把 LibreSSL 到 Void 里头去,所 02/01 05:35
95F:→ EdwardGJLee: 以经验比较丰富。 02/01 05:35
96F:→ EdwardGJLee: s/砑/硬/ 02/01 05:36
97F:→ EdwardGJLee: s/LibreSSL 到 Void/LibreSSL port 到 Void/ 02/01 05:38
98F:→ EdwardGJLee: @Bencrie 如果是说在 OpenBSD 灌 VM,目前还很抱歉。 02/01 05:43
99F:推 s9209122222: 在 Arch 论坛上面大家一面倒地认为 Duncaen 有道理 02/01 09:01
100F:→ s9209122222: 看来 slicer69 的开发方式真的有问题 02/01 09:03
101F:→ s9209122222: 而且 AUR 的那个是移植旧版的 02/01 09:04
102F:推 EdwardGJLee: 好好吃饱,好好长大,好好读书,好好修练,你以後就 02/01 19:25
103F:→ EdwardGJLee: 会有能力去 review 他们的 code,判断谁是谁非。 02/01 19:26
104F:推 s9209122222: 看了 FreeBSD 的安装过程和 Linux 好像 02/01 21:56
105F:→ holishing: 你说哪个发行版...我觉得 Linux 光不同发行版就差很多 02/02 00:34
106F:→ EdwardGJLee: 如果是说从 cd/iso copy 到 HD,这大家都很像。XD 02/02 10:38
107F:→ EdwardGJLee: 要灌 *BSD,先了解它的碰碟配置结构,这和一般不同。 02/02 10:38
108F:→ EdwardGJLee: 如果搞不清楚,现代的 *BSD 有一个 A 的选项,自动的 02/02 10:39
109F:→ EdwardGJLee: s/碰碟/磁碟/ 02/02 10:41
110F:推 Arbin: 我会觉得 FreeBSD 某些安装步骤颇像 Android_x86 (? 02/02 16:37