Catalogada como CVE-2017-1000367, a vulnerabilidade descoberta pelos pesquisadores Qualys Security permit que usuários locais tenham acesso a privilégios de root, obrigando a Red Hat, Debian, SUSE entre outros mantenedores a lançarem patches de correção.
O Sudo é um programa para sistemas Linux e UNIX que permite aos usuários comuns a execução de comandos específicos como superusuário (root), como adicionar usuários ou executar atualizações do sistema, tudo de forma controlada pelo administrador.
A vulnerabilidade se encontra na função get_process_ttyname do Sudo que permite que um invasor local com acesso ao Sudo execute comandos como se fosse o usuário root. As versões Sudo 1.8.6p7 a 1.8.20 são afetadas e a correção é feita com a atualização para a versão 1.8.20p1.
Descrição da falha pela equipe responsável pelo Sudo (texto traduzido):
“Em sistemas Linux, o sudo analisa o arquivo /proc/[pid]/stat para determinar o número do dispositivo do tty do processo (campo 7). Os campos no arquivo são delimitados por espaço, mas é possível que o nome do comando (campo 2) inclua espaço em branco (incluindo a linha nova), que o sudo não conta “, disse o aviso do sudo. “Um usuário com privilégios sudo pode fazer com que o sudo use um número de dispositivo escolhido pelo usuário, criando um link simbólico do binário sudo para um nome que contenha um espaço, seguido de um número”.
A Red Hat disse que lançou as soluções ontem para o Red Hat Enterprise Linux 6, o Red Hat Enterprise Linux Server e o Red Hat Enterprise Linux 7, assim como várias outras distribuições, incluindo o Debian por seus lançamentos wheezy , jessie e sid e a SUSE.
Fontes consultadas: Latest Hacking News / Sudo
Imagens: Reddit
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec