↑ 点击上方蓝色字关注我们
2019年10月14日,CVE组织公开了一个新漏洞,其编号为CVE-2019-14287,据悉,该漏洞由苹果信息安全部门的 Joe Vennix 追踪发现。该漏洞是sudo安全策略绕过问题,可导致恶意用户或程序在目标 Linux 系统上以 root 身份执行任意命令,即使 “sudoers configuration” 明确禁止该 root访问权限也不例外。
Sudo的全称是“superuserdo”,它是 Linux 系统管理指令,允许用户在不需要切换环境的前提下以其它用户的权限运行应用程序或命令,通常是以 root 用户身份运行命令,以减少 root 用户的登录和管理时间,同时提高安全性。
通常Linux 计算机并不易受攻击,但如果进行了让用户以 root 权限以外的其他用户权限运行命令的配置,则需要引起注意,因为用户可以通过命令行上的 -u#-1 绕过这个非root限制。如果将 sudo配置为允许用户通过Runas 规范中的 ALL 关键字以任意用户身份运行命令,则可以通过指定用户 ID为-1 或4294967295 以 root 用户身份运行命令。只要Runas 规范中最先列出 ALL 关键字,即使Runas 规范明确禁止 root访问权限,那么具有足够的 sudo 权限的用户即可以 root 身份运行命令。以这种方式运行的命令的日志条目会把目标用户列为 4294967295而非 root,此外将不会为该命令运行 PAM 会话模块。总的来说:利用该漏洞要求用户具有 sudo 权限,从而以任意用户的ID运行命令。
目前,厂商发布的最新版本不存在该漏洞,建议用户尽快更新,同时我们也建议用户进行一些必要的检查,避免造成损失。
预警报告信息漏洞名称 | Linux Sudo 权限绕过漏洞CVE-2019-14287 |
漏洞影响版本 | Sudo 1.8.28 之前的所有版本 |
漏洞危害等级 | 中危 |
厂商是否已发布漏洞补丁 | 是 |
版本更新地址 | https://www.sudo.ws/download.html。 |
安全狗总预警期数 | 106 |
安全狗发布预警日期 | 2019年10月15日 |
安全狗更新预警日期 | 2019年10月15日 |
发布者 | 安全狗海靑实验室 |
1、创建safedog用户
2、编辑sudo配置 Vim /etc/sudoers ,添加记录 safedog ALL=(ALL,!root)ALL ,保存
3、切换到safedog用户,运行sudo id ,结果不允许safedog用户以root权限运行id命令
4、再运行sudo -u#-1 id 命令,可利用该漏洞绕过限制,safedog用户以root权限运行了id命令
1、及时升级到sudo1.8.28 版本,官方已经推出安全更新:
https://www.sudo.ws/download.html
2、检索/etc/sudoers是否存在 ALL 关键词的复合限制逻辑。