Важная информация об уязвимости в sudo (CVE-2021-3156)

27.01.2021 была опубликована информация об уязвимости в утилите sudo. Данная уязвимость ставит под угрозу безопасность и сохранность данных на сервере, поскольку позволяет любому пользователю повысить привилегии до суперпользователя и выполнять с сервером любые действия. Для поддерживаемых версий популярных ОС уже выпущены обновления.

Для серверов на OpenVZ с поддерживаемыми ОС (Debian 9, Debian 10, CentOS 7, CentOS8, Ubuntu 16.04, Ubuntu 18.04, Ubuntu 20.04) необходимо установить обновления утилиты sudo. Для этого необходимо подключиться к серверу по SSH от имени root и выполнить команду.

Для Debian 9 и 10 и Ubuntu 16.04, 18.04, 20.04:
apt-get update; apt-get install -y sudo

Для CentOS 7 и 8:
yum install -y sudo

После обновления рекомендуем проверить, что уязвимость устранена, для этого потребуется выполнить команду:
sudoedit -s ‘/’

В результате должен быть такой вывод с информацией об использовании утилиты
$ sudoedit -s ‘/’
usage: sudoedit [-AknS] [-C num] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-T timeout] [-u user] file …

Если же вывод выглядит следующим образом, значит уязвимость не устранена.
$ sudoedit -s ‘/’
sudoedit: /: not a regular file

Для более старых ОС (Debian 7 и 8, CentOS 6, Ubuntu 14.04) обновлений с исправлением уязвимости не ожидается. Поэтому для таких серверов крайне рекомендуем запланировать в ближайшем времени переход на поддерживаемые ОС. До тех пор рекомендуем удалить утилиту sudo, если она не требуется в качестве зависимости для другого ПО на сервере.

Больше информации по поводу уязвимости Вы можете найти по ссылкам:
https://www.opennet.ru/opennews/art.shtml?num=54474
https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
https://access.redhat.com/security/cve/CVE-2021-3156
https://ubuntu.com/security/CVE-2021-3156
https://security-tracker.debian.org/tracker/CVE-2021-3156