CVE-2019-14287 – Linux bug sudo. 429496967295 il numero magico.

Sudare senza sforzo!

Sudo è un comando di sistema che permette ad un utente di eseguire applicazioni o comandi con i privilegi di un altro utente — come l’amministratore di sistema — senza dover cambiare ambiente. Il più delle volte, Sudo è usato per eseguire comandi come utente root.

Sudo sta per “superuser do”. I comandi Sudo sono inseriti in un’applicazione terminale a riga di comando per eseguire la gestione di routine del software e altre configurazioni e attività di sistema Linux.

Il bug Sudo è designato CVE-2019-14287 nel database Common Vulnerabilities and Exposures. Il bug permette agli utenti di aggirare le restrizioni dei privilegi per eseguire i comandi come root.

Una volta installata la patch, il bug Sudo interesserà solo le versioni di Sudo precedenti alla 1.8.28. Red Hat ha valutato il bug con un punteggio di gravità di 7.8 su 10 sulla scala CvSS.

CVE-2019-14287
CVE-2019-14287 – Sudo_bug



Come

La separazione dei privilegi è uno dei paradigmi di sicurezza fondamentali in Linux. In un ambiente aziendale, gli amministratori possono configurare un file sudoers per definire quali utenti possono eseguire quali comandi.

In uno specifico scenario in cui un utente può eseguire un comando come qualsiasi altro utente, ad eccezione di root, la vulnerabilità potrebbe consentire all’utente di aggirare la politica di sicurezza e assumere il controllo completo del sistema come root.

Altrimenti, l’utente dovrebbe conoscere la password per l’accesso di root per eseguire un comando sudo. L’aggiunta dei parametri -u#-1 o -u#429496967295 al comando sudo è tutto ciò che serve per ottenere i privilegi extra di root.

Le distribuzioni Linux che contengono la parola chiave “ALL” nella specifica RunAs nel file di configurazione /etc/sudoers sono interessate al bug. La parola chiave ALL permette a tutti gli utenti di uno specifico gruppo di eseguire qualsiasi comando come qualsiasi utente valido sul sistema, e di solito è presente nelle configurazioni predefinite di Linux.

È sempre buona norma essere sempre aggiornati con le patch e i pacchetti della propria distribuzione. Tuttavia, a meno che non si disponga di un file sudoers che utilizza l’idioma sopra descritto, non c’è bisogno di affrettarsi ad aggiornare il pacchetto Sudo.

Sono a rischio – CVE-2019-14287 ?

In un ambiente aziendale, gli amministratori di sistema – e per questo motivo, altri utenti – possono eseguire un rapido controllo per verificare se i loro computer sono a rischio per il bug Sudo, .

Controlla la configurazione di sudoers per le voci vulnerabili eseguendo questo comando in un terminale:

# grep -r ‘!\s*root\>’ /etc/sudoers /etc/sudoers.d/ | grep -v ‘^\s*#’

Se questo comando non produce alcun output, allora il sistema non è vulnerabile, altrimenti la configurazione deve essere rivista.

In tutti i casi, tutte le distribuzioni e fork hanno già in pancia gli aggiornamenti. Effettuate gli aggiornamenti !