Устранение критической уязвимости утилиты Sudo при переполнении буфера (CVE-2021-3156)

Утилита Sudo включена во множество операционных систем на базе Linux. Она позволяет пользователям запускать программы с правами безопасности другого пользователя. Уязвимость возникает, если определенным образом вызвать переполнение буфера. Данной уязвимости подвержены версии утилиты с 1.8.2 по 1.8.31p2 и с 1.9.0 по 1.9.5p1. Злоумышленники могут воспользоваться данной уязвимостью, чтобы получить контроль над незащищенной системой.

Данной уязвимости подвержены следующие устройства Moxa:

Компьютеры на базе RISC-процессора:

• Серия UC-2100, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-2100-W, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-3100, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-5100, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-8100, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-8100A-ME-T, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-8100-ME-T, Версия ПО: Debian 8.x

• Серия UC-8100-ME-T, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-8200, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-8410A, Версия ПО: Debian 8.x

• Серия UC-8410A, Версия ПО: Moxa Industrial Linux v1.0

• Серия UC-8540, Версия ПО: Debian 8.x

• Серия UC-8580, Версия ПО: Moxa Industrial Linux v1.0

Компьютеры с архитектурой процессора x86:

• Серия MC-1100, Версия ПО: Debian 8.x
• Серия MC-1100, Версия ПО: Debian 9.x
• Серия MC-1200, Версия ПО: Debian 9.x
• Серия V2201, Версия ПО: Debian 9.x
• Серия V2403, Версия ПО: Debian 9.x
• Серия V2406A, Версия ПО: Debian 8.x
• Серия V2406C, Версия ПО: Debian 7.x
• Серия V2416A, Версия ПО: Debian 9.x
• Серия V2426A, Версия ПО: Debian 7.x
• Серия V2616A, Версия ПО: Debian 7.x
• Серия DA-681C, Версия ПО: Debian 7.x
• Серия DA-681A, Версия ПО: Debian 9.x
• Серия DA-682C, Версия ПО: Debian 8.x
• Серия DA-720, Версия ПО: Debian 9.x
• Серия DA-820C, Версия ПО: Debian 8.x

Панельные компьютеры и дисплеи:

• Серия MPC-2070, Версия ПО: Debian 9.x
• Серия MPC-2101, Версия ПО: Debian 9.x
• Серия MPC-2120, Версия ПО: Debian 9.x
• Серия MPC-2121, Версия ПО: Debian 9.x

Системы удаленного ввода/вывода:

• Серия ioThinx 4530, Версия прошивки 1.3 и ниже

Для устранения уязвимости на прошивках с Debian 8.x, выполните шаги для обновления пакета Sudo до версии 1.8.10p3-1+deb8u8

Для устранения уязвимости на прошивках с Debian 9.x или Moxa Industrial Linux (MIL), выполните шаги для обновления пакета Sudo до версии 1.8.19p1-2.1+deb9u3e.

Решение 1: Обновление пакета из репозитория Moxa Debian.

Шаг 1: Обновите apt информацию

root@Linux:~$ apt-get update

Шаг 2: Установите пакет Sudo

root@Linux:~$ apt-get install sudo

Примечание: Репозиторий debian.moxa.com сконфигурирован внутри системы по умолчанию. Если вы не можете получить доступ к репозиторию, проверьте, чтобы он был добавлен в список источников apt.

Откройте moxa.source.list в редакторе vi.

root@Linux:~$ vi /etc/apt/sources.list.d/moxa.sources.list

Если репозитория там нет, добавьте следующую строку в moxa.source.list

- Для Debian 8.x

deb http://debian.moxa.com/debian jessie main

- Для Debian 9.x или MIL,

deb http://debian.moxa.com/debian stretch main

Решение 2: Скачайте файл из репозитория Moxa Debian, а затем загрузите deb-файл на устройство (через USB, SD, SCP и пр.) для выполнения обновления.

Шаг 1: Скачайте последний deb-файл Sudo

Для систем amd64 с Debian 8.x: ссылка

Для систем armhf с Debian 8.x: ссылка

Для систем armhf с Debian 9.x или MIL: ссылка

Для систем amd64 с Debian 9.x или MIL: ссылка

Шаг 2: Загрузите deb-файл на устройство с помощью USB/SD-карты, SCP и пр.

Шаг 3: Используйте команду dpkg -i для установки deb-файла

root@Linux:~$ dpkg -i <deb file name>

Например: 

root@Linux:~$ dpkg -i sudo_1.8.19p1-2.1+deb9u3_armhf.deb

Для прошивок с Debian 7.x патч недоступен, т.к. долгосрочная поддержка данной ОС закончилась 31 мая 2018 года.

Для прошивок с Debian 8.x патч недоступен, т.к. долгосрочная поддержка данной ОС закончилась 30 июня 2020 года.

Пожалуйста, убедитесь, что неавторизованные пользователи не могут получить доступ к вашей системе, чтобы снизить риск атак. Также рекомендуется обновить систему до версии Debian 9 (Stretch) или Debian 10 (buster).

Для предоставления актуальной информации и во избежание недоразумений Moxa публикует всю самую свежую информацию о найденных уязвимостях и способах их устранения на странице Security Advisories (Советы по безопасности). Информация о наиболее критичных уязвимостях будет появляться и на русскоязычном сайте.

Пользуйтесь оборудованием Moxa с удовольствием, но не забывайте периодически проверять обновления. И, конечно же, обращайтесь к нам за любыми консультациями!