CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

21/05/2012

Salt de restriccions en sudo (en multitud de distribucions)

S’ha descobert una vulnerabilitat en sudo que podria permetre a un atacant local eludir determinades restriccions de seguretat. La fallada afecta quasi totes les distribucions basades en el nucli Linux.

Risc: Baix

Sudo es una ferramenta d’administració utilitzada en moltes de les distribucions basades en el nucli Linux. Permet als usuaris executar comandos amb els privilegis d’un altre, comunament d'arrel, de manera controlada i segura. Sudo permet, a més, executar comandos en ordinadors centrals remots especificats en el fitxer 'sudoers' per mitjà del seu nom de màquina, IP, grup de xarxa, o adreça de xarxa (IP i màscara de xarxa).

Jan Lieskovsky ha descobert esta vulnerabilitat identificada com a CVE-2012-2337. És per un error en la manera en què es concedix l’accés a un determinat ordinador central, quan hi ha múltiples màscares de xarxa en la part de configuració d'host' i 'host_list' de l’arxiu 'sudoers'.

La fallada es va introduir quan es va agregar el suport per a IPv6 a sudo (fa aproximadament 5 anys), i podria produir una coincidència en adreces de xarxa IPv4 quan no deu. Açò podia permetre a usuaris autoritzats en l’arxiu 'sudoers' realitzar un salt de restriccions. D’esta manera, podrien executar comandos sudo en qualsevol ordinador central, independentment de la configuració 'host_list', i inclús si la configuració per a eixa màscara de xarxa impedix l’execució dels dits comandos.

La fallada es va introduir quan es va agregar el suport per a IPv6 a sudo (fa aproximadament 5 anys), i podria produir una coincidència en adreces de xarxa IPv4 quan no deu. Açò podia permetre a usuaris autoritzats en l’arxiu 'sudoers' realitzar un salt de restriccions. D’esta manera, podrien executar comandos sudo en qualsevol ordinador central, independentment de la configuració 'host_list', i inclús si la configuració per a eixa màscara de xarxa impedix l’execució dels dits comandos.

Sistemes Afectats:

Es troben afectades per esta vulnerabilitat les versions de sudo de la 1.6.9p3 fins a la 1.8.4p4.

Referències:

CVE-2012-2337

Solució:

Des de la pàgina oficial es poden descarregar les versions de sudo 1.8.4p5 i 1.7.9p1 que corregixen esta fallada. Moltes distribucions han començat a distribuir paquets propis que la solucionen.

Notes:

Sudo.ws: IP addresses in sudoers with netmask may match additional hosts 
Hispasec: Elevació de privilegis en sudo (en multitud de distribucions)

Font: Hispasec una-al-día

CSIRT-CV