龙8国际电子平台

long8-龙8(国际)唯一官方网站

long8-龙8(国际)唯一官方网站

long8-龙8(国际)唯一官方网站

long8-龙8(国际)唯一官方网站

正文

关于sudo外地提权误差(CVE-2021-3156)的清静通告

宣布时间：2021-01-27 09:01 浏览次数：7350

1月27日，Linux清静工具sudo被披露保存严重的堆溢出误差(CVE-2021-3156)，影响众多Linux的刊行版本，请实时对误差举行修复。

【误差形貌】

Sudo是Linux/Unix系统上常用的工具，管理员可通过它分派给通俗用户所需的管理权限，险些所有的Linux及Unix系统都装置有程序。此基于堆的缓冲区溢出误差已隐藏十年之久，使用此误差，非特权的外地通俗用户可以在主机上获得root特权。相关研究职员已经在Ubuntu 20.04（Sudo 1.8.31）、Debian 10（Sudo 1.8.27）、Fedora 33（Sudo 1.9.2）等系统上验证误差保存，并使用误差获得了完整的root用户特权。

【误差影响版本】

Sudo1.8.2到 1.8.31p2版本

Sudo1.9.0到1.9.5p1版本

红帽子官网显示Red Hat Enterprise Linux（CentOS）6、7、8版本均保存误差。

【误差检测】

以非root账户登录系统运行如下下令：sudoedit -s /

受影响的系统启动程序会提醒以下开头的过失作为响应：sudoedit:

装置补丁后启动会提醒以下开头的过失作为响应：usage:

【修复计划】

下载升级sudo软件包，下载链接为：

sudo软件包下载地址

https://www.sudo.ws/dist/

l CentOS 系统

CentOS 6官方已阻止更新；

CentOS 7升级到sudo-1.8.23-10.el7_9.1及以上版本；

CentOS 8升级到sudo-1.8.29-6.el8_3.1及以上更高版本。

【注】RHEL(CentOS)系统可以通过yum update sudo升级，装置补丁前请做好备份事情，并在测试情形上测试通过。

l Ubuntu系统

Ubuntu 20.04 LTS升级到sudo-1.8.31-1ubuntu1.2或sudo-ldap-1.8.31-1ubuntu1.2版本；

Ubuntu 18.04 LTS升级到sudo-1.8.21p2-3ubuntu1.4或sudo-ldap-1.8.21p2-3ubuntu1.4；

Ubuntu 16.04 LTS升级到sudo-1.8.16-0ubuntu1.10或sudo-ldap- 1.8.16-0ubuntu1.10。

【参考资料】

https://access.redhat.com/security/cve/CVE-2021-3156

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156

友情链接

中国广电
福建广电网络集团
福建省科技厅
福建省科学手艺信息研究所

清静产品

清静服务

微信公众号

龙8国际电子平台版权所有联系: hxzhb@heidun.net 闽ICP备06011901号 ? 1999-2024 Fujian Strait Information Corporation. All Rights Reserved.

long8-龙8(国际)唯一官方网站

返回顶部