作者holishing ( )
看板Linux
標題Fw: [情報] sudo CVE-2021-3156
時間Wed Jan 27 22:23:38 2021
※ [本文轉錄自 NetSecurity 看板 #1W4MUNUP ]
作者: CMJ0121 (不要偷 Q) 看板: NetSecurity
標題: [情報] sudo CVE-2021-3156
時間: Wed Jan 27 21:16:04 2021
簡單來說呢 有在使用 sudo 的環境記得升級一下 sudo 版本
中文版本文章[0]表示 有研究人員發現 sudo 有 heap overflow[1] 的狀況
適用情境包含所有系統內的使用者 (含非 sudoer)
所以這個漏洞應該是很好用 (?)
另外 最近在玩 root-me 其中有一關[2]是滿滿的 sudo 誤用的情況
玩到現在的心得就是 不要給 sudo 權限就對了
[0]:
https://www.ithome.com.tw/news/142469
[1]:
https://en.wikipedia.org/wiki/Heap_overflow
[2]:
https://www.root-me.org/en/Challenges/App-Script/Bash-Restricted-shells
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.162.139.70 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1611753367.A.799.html
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: holishing (140.116.137.106 臺灣), 01/27/2021 22:23:38
1F:→ holishing: Debian, Ubuntu, SUSE, RHEL 都 patch 了, CentOS 不管 01/27 22:25
2F:→ holishing: 哪個系列的再等等或是自己抓 git.centos.org 的 patch 01/27 22:25
3F:→ holishing: 下來從 SRPM 重編 01/27 22:25
4F:→ Bencrie: 今天看新聞好像也是陳年漏洞 (X 01/27 22:59
5F:推 penut85420: 不過也是最近才揭露的,昨天patch了 01/27 23:27
6F:推 ks031239: CentOS 7 已更新 01/27 23:42
7F:→ EdwardGJLee: 原來 sudo 比 root 還危險!:p 01/27 23:55
8F:→ holishing: 對 CentOS 都更新了 01/28 05:03
9F:推 bitlife: root只有root本人犯錯,sudo增加更多人可以犯錯,確實比較 01/28 09:27
10F:→ bitlife: 危險 (誤) 01/28 09:27
11F:推 CMJ0121: 小的我跳出來回一下我當初的意思 我玩到後來偏好 sudo 01/28 13:58
12F:→ CMJ0121: 就全開權限、不要只開部分程式權限 01/28 13:58
13F:→ CMJ0121: 另外 sudo 的好處就是紀錄哪個人執行高權限指令 01/28 13:59
14F:→ EdwardGJLee: @CMJ0121 看怎麼使用,及視所處層次而定。但把root 01/28 16:43
15F:→ EdwardGJLee: 掉,我覺得不是很好的做法。請參考以下文章: 01/28 16:44
17F:→ EdwardGJLee: s/root掉/root拿掉/ 01/28 16:45
18F:推 s9209122222: doas 有比 sudo 安全嗎?我看一個叫 Mental Outlaw 01/28 17:50
19F:→ s9209122222: 的 YouTuber 一直推薦 01/28 17:50
20F:→ s9209122222: 之前他就推過,這次出事他馬上跳出來呼籲 01/28 17:51
21F:→ OrzOGC: 還好我都沒在用sudo 01/28 18:00
22F:→ EdwardGJLee: @S\d.* 工具只是工具,看怎麼用,有洞就補起來。 01/28 18:09
23F:→ EdwardGJLee: OpenSSL 不是號稱安全嗎?結果爆出血來,補都來不及 01/28 18:11
24F:→ EdwardGJLee: 所以才會有 LibreSSL 出來。 01/28 18:11
25F:推 btzhang2718: 不相信doas也要相信OpenBSD吧 01/29 07:59
26F:→ EdwardGJLee: 是在說用工具的態度問題,不是在說 doas 不好。 01/29 08:57
27F:→ EdwardGJLee: LibreSSL 就是 OpwnBSD 從 OpenSSl fork 出來的。 01/29 08:58
28F:→ EdwardGJLee: s/OpwnBSD/OpenBSD/ 01/29 08:59
29F:→ holishing: 我覺得功能類似 sudo 的工具都可以瞭解一下, doas 或是 01/29 14:12
30F:→ holishing: 紅帽常在桌面環境用的 polkit 也可以大概知道一下 01/29 14:13
31F:推 s9209122222: 那麼各大發行版怎麼不預設用 doas? 01/29 21:03
32F:→ EdwardGJLee: 2015 才出現,雖馬上就 port 到 linux(OpenDoas) 01/29 21:16
33F:→ EdwardGJLee: 可能還要觀察吧?但 arch/gentoo/void 有提供。 01/29 21:17
34F:→ a58524andy: 各大發行版怎麼不預設nftables偋棄iptables? 01/29 21:18
35F:→ a58524andy: 怎麼不預設gcc 10? 怎麼不預設suckless WM還在DE? 01/29 21:20
36F:→ Bencrie: CentOS 8 把 iptables 丟了啊 01/29 22:43
37F:→ EdwardGJLee: 啊就先遣隊呀!XD 01/30 05:25
38F:→ holishing: 其實 Debian >=10 和 CentOS >=8 都轉 nftables 了.. 01/30 17:19
39F:→ holishing: Ubuntu 因為自家的一些東西還有 issue 還沒在 LTS 轉 01/30 17:19
40F:推 Bencrie: debian iptables-legacy 還能裝,CentOS 8 要 rebuild 01/30 17:44
41F:推 Bencrie: 修正一下,debian 10 iptables-legacy 還留在 iptables 01/30 17:47
42F:→ Bencrie: package 裡 01/30 17:47
43F:推 s9209122222: 什麼!連 iptables 也過時了? 01/30 20:05
44F:→ EdwardGJLee: 呃,樓上不會要用 pf 為預設吧?XD 01/30 20:57
45F:推 Bencrie: 搞不好還很多人在用 ifconfig 01/30 22:56
46F:推 s9209122222: ifconfig 也過時了?我當初在 Manjaro 很疑惑怎麼沒 01/30 22:59
47F:→ s9209122222: 這指令 01/30 22:59
48F:推 s9209122222: 看介紹感覺 nftables 好很多耶 01/30 23:02
49F:推 s9209122222: 已改用 doas,設定真的簡單多了 01/31 01:11
50F:→ EdwardGJLee: 樓上,提醒一下,ports 是 ports, 不是原來的 doas 01/31 14:40
51F:→ EdwardGJLee: 曾有一 ports(不是 OpenDoas),發生過大漏洞,和原 01/31 14:41
52F:→ EdwardGJLee: 來的 doas 無關。雖然很快就補好了,不過也因此給大 01/31 14:42
53F:→ EdwardGJLee: 家留下陰影。或許裝個 OpenBSD 玩玩看? 01/31 14:42
54F:→ EdwardGJLee: @Bencrie 你是說 ipchains? 01/31 14:43
55F:→ EdwardGJLee: BTW, OpenDoas 比較像是 fork 而不是 port。 01/31 14:45
56F:推 s9209122222: arch 官方提供的應該是可靠的? 01/31 16:31
57F:→ s9209122222: opendoas 的開發者說 AUR 的那個 doas 比較不可靠 01/31 16:33
58F:→ s9209122222: 真的嗎? 01/31 16:33
59F:→ EdwardGJLee: 呃,這個我不予置評!:P 01/31 16:50
60F:→ EdwardGJLee: 能確定你裝的來源嗎?指 source 來源。 01/31 16:51
61F:→ EdwardGJLee: 如果你裝的是 Duncaen 的版本,請趕快補洞吧! 01/31 17:06
63F:→ EdwardGJLee: 這個月 28 號發的安全通報(中國)。 01/31 17:07
65F:推 Bencrie: ifconfig 就被 iproute2 取代掉的那個舊命令 01/31 17:27
66F:推 EdwardGJLee: ifconfig 我知道,我的意思是 ipchains vs iptables 01/31 17:42
67F:→ EdwardGJLee: 功能上比較相當。 01/31 17:43
68F:→ EdwardGJLee: 我有保留一個 kernel 2.6.x 的舊系統,有 ifconfig。 01/31 17:44
69F:推 s9209122222: archlinux 都有即使更新呀 01/31 19:05
70F:→ s9209122222: 就是他說的 01/31 19:07
72F:→ s9209122222: uecomment-770243361 01/31 19:07
73F:推 EdwardGJLee: 嗯,我剛剛查了一下,arch 在 29 號就更新了,動作很 01/31 19:25
74F:→ EdwardGJLee: 快。AUR 的版本就是 FreeBSD 採用的版本。參與者多。 01/31 19:26
75F:→ EdwardGJLee: 也是我提到當初有大漏洞的版本。 01/31 19:27
76F:→ EdwardGJLee: VM 裝個 OpenBSD 吧!你會愛上她的 pf。 01/31 19:28
77F:推 s9209122222: 那遊戲方面呢? 01/31 21:21
78F:推 s9209122222: 好像比較難學? 01/31 21:25
80F:→ EdwardGJLee: 不過,在 OpenBSD 上玩 game 有點浪費…… 01/31 21:36
83F:推 Bencrie: 當然是灌 VM 跑 Win10 玩 STEAM 3A 大作 01/31 21:40
84F:推 s9209122222: AUR 的那個開發者說是那個作者想詆毀他們,他們後來 02/01 00:36
85F:→ s9209122222: 還把他給封鎖 02/01 00:36
86F:→ s9209122222: 但 Arch 又是提供 opendoas 02/01 00:37
87F:→ s9209122222: 到底什麼情況 02/01 00:38
88F:推 EdwardGJLee: 所以呀!我會叫你在 VM 裝個 OpenBSD 玩看看!XD 02/01 05:30
89F:→ EdwardGJLee: 這裡頭牽涉到 BSD auth 整體身份認證結構,有點和 02/01 05:31
90F:→ EdwardGJLee: OpenBSD 綁死的那種情形。github/gitlib 還有其也的 02/01 05:31
91F:→ EdwardGJLee: repo,但最後都沒敢 release。 02/01 05:32
92F:→ EdwardGJLee: 砑要選的話,我會選 Duncaen 的版本。原因是他是 02/01 05:34
93F:→ EdwardGJLee: Void Linux 的主要開發者之一,對 Linux 整體結構非 02/01 05:34
94F:→ EdwardGJLee: 常熟悉。另外他們也把 LibreSSL 到 Void 裡頭去,所 02/01 05:35
95F:→ EdwardGJLee: 以經驗比較豐富。 02/01 05:35
96F:→ EdwardGJLee: s/砑/硬/ 02/01 05:36
97F:→ EdwardGJLee: s/LibreSSL 到 Void/LibreSSL port 到 Void/ 02/01 05:38
98F:→ EdwardGJLee: @Bencrie 如果是說在 OpenBSD 灌 VM,目前還很抱歉。 02/01 05:43
99F:推 s9209122222: 在 Arch 論壇上面大家一面倒地認為 Duncaen 有道理 02/01 09:01
100F:→ s9209122222: 看來 slicer69 的開發方式真的有問題 02/01 09:03
101F:→ s9209122222: 而且 AUR 的那個是移植舊版的 02/01 09:04
102F:推 EdwardGJLee: 好好吃飽,好好長大,好好讀書,好好修練,你以後就 02/01 19:25
103F:→ EdwardGJLee: 會有能力去 review 他們的 code,判斷誰是誰非。 02/01 19:26
104F:推 s9209122222: 看了 FreeBSD 的安裝過程和 Linux 好像 02/01 21:56
105F:→ holishing: 你說哪個發行版...我覺得 Linux 光不同發行版就差很多 02/02 00:34
106F:→ EdwardGJLee: 如果是說從 cd/iso copy 到 HD,這大家都很像。XD 02/02 10:38
107F:→ EdwardGJLee: 要灌 *BSD,先了解它的碰碟配置結構,這和一般不同。 02/02 10:38
108F:→ EdwardGJLee: 如果搞不清楚,現代的 *BSD 有一個 A 的選項,自動的 02/02 10:39
109F:→ EdwardGJLee: s/碰碟/磁碟/ 02/02 10:41
110F:推 Arbin: 我會覺得 FreeBSD 某些安裝步驟頗像 Android_x86 (? 02/02 16:37