Les détails de la faille dans la commande sudoedit sont dans https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
En résumé:
- On peux avoir un passage root d'un utilisateur (genre shinken) si et seulement si, un utilisateur arrive à lancer la commande sudoedit avec les bons arguments.
Pour détecter:
$ sudoedit -s / |
| Retour au début de ligne | Vulnérable (ou pas) |
|---|---|
| “sudoedit:” | VULNERABLE |
| “usage:” | FIXE |
Impact et correction de la faille ( Centos7 seulement )
- Dans le cadre de Shinken Enterprise, nous utilisons la commande sudo mais PAS la commande affectée nommée sudoedit.
- Ainsi, la seule possibilité d'exploitation est dans le fait qu'un shinken admin (PAS un admin SI) peux définir une commande avec sudoedit et la faire lancer sur:
- le synchronizer
- les pollers
- et ainsi passer root s'il a un bon payload de piratage
- sudo n'est PAS livré dans Shinken Enterprise, car il est inclu dans le système
- Les clients DOIVENT mettre à jour via la commande:
yum install -y sudo
| Remarque: en CENTOS6, vu que le système n'est plus supporté, il n'y a pas de correction, il FAUT passer ses serveurs en Centos7 |