お知らせ

【注意喚起】sudoの脆弱性(CVE-2021-3156)に関する注意喚起

更新日:2021年2月 1日

sudo (一般に、UNIX系OSにおいてコマンドライン画面から管理者権限で任意の
コマンドが実行できる機能)の脆弱性に関する注意喚起として、以下のとおりお知ら
せいたします。

本脆弱性は、サーバ、PCを問わずUNIX系OS全般に関係するものです。
UNIX系OSのサーバやPCを管理している、あるいは管理を業者等に委託している
学内の担当者はsudoのバージョンを確認し、脆弱性があるバージョンだった場合には、
速やかにアップデートを行ってください。


1.概要
 2021年1月26日(現地時間)、sudoにおけるヒープベースのバッファオーバーフローの
脆弱性(CVE-2021-3156)に関する情報が公開されました。sudoersファイル(通常は
/etc/sudoers配下)が存在する場合に、脆弱性を悪用することによりローカルユーザが
rootに権限昇格する可能性があります。

  Sudo
  Buffer overflow in command line unescaping
  https://www.sudo.ws/alerts/unescape_overflow.html
 
 なお、本脆弱性を発見したQualys社より、脆弱性の技術的な解説や脆弱性を実証する
動画が公開されています。
 今後、脆弱性を悪用する実証コードなどが公開され、攻撃の中で権限昇格に悪用される
可能性もあるため、影響を受けるシステムを利用している場合は、早急に対策を実施する
ことを強く推奨いたします。

2.対象
 対象となる製品とバージョンは次のとおりです。なお、各ディストリビューションに
おける対象バージョンは、ディストリビュータの情報を参照ください。
  - sudo バージョン 1.8.2 から 1.8.31p2
  - sudo バージョン 1.9.0 から 1.9.5p1
 なお、本脆弱性を発見したQualys社は、"sudoedit -s /"コマンドを実行し、
"sudoedit:"から始まるエラーが表示されると脆弱性の影響を受け、"usage:"から始まる
エラーが表示されると影響を受けない、という情報を公開しています。

3.対策
 各ディストリビュータより、本脆弱性を修正したバージョンが公開されています。
 各ディストリビュータの情報などを参考にバージョンアップなどの対応を検討願います。

4.参考情報

Qualys
CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)
https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

Sudo
Major changes between version 1.9.5p2 and 1.9.5p1
https://www.sudo.ws/stable.html#1.9.5p2

Red Hat Customer Portal
Privilege escalation via command line argument parsing - sudo - (CVE-2021-3156)
https://access.redhat.com/security/vulnerabilities/RHSB-2021-002

Ubuntu
USN-4705-1: Sudo vulnerabilities
https://ubuntu.com/security/notices/USN-4705-1

Debian
CVE-2021-3156
https://security-tracker.debian.org/tracker/CVE-2021-3156

sudoの脆弱性(CVE-2021-3156)に関する注意喚起について
https://www.jpcert.or.jp/at/2021/at210005.html

↑ページトップへ