Linux Sudo堆缓冲区溢出漏洞通告及修复方案

吾爱分享 建站运维Linux Sudo堆缓冲区溢出漏洞通告及修复方案已关闭评论452字数 193阅读0分38秒阅读模式

CVE-2021-3156: 缓冲区溢出漏洞

2021年01月27日,360CERT监测发现RedHat发布了sudo 缓冲区/栈溢出漏洞的风险通告,该漏洞编号为CVE-2021-3156,漏洞等级:高危,漏洞评分:7.0。

sudo析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoer和非sudoers)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。成功利用此漏洞可以获得root权限。

Sudo堆缓冲区溢出漏洞POC公开

在ubuntu20.04与ubuntu 18.04上复现成功。

Linux Sudo堆缓冲区溢出漏洞通告及修复方案

Ubuntu/Deepin 修复命令:

sudo apt-get update
sudo apt-get upgrade sudo -y

测试效果【已经失败】

Linux Sudo堆缓冲区溢出漏洞通告及修复方案插图1

Centos 修复方式

yum update sudo -y

 
吾爱分享