概要
sudo 脆弱性が発表されたので (CVE-2021-3156)
各OSでアップデート対応手順をまとめました。
実際の手順は検証してから作業お願いします。
私の場合はAWS環境で各OSのAMIで確認してます。
対象となる製品とバージョンは次のとおりです。なお、各ディストリビューションにおける対象バージョンは、ディストリビュータの情報を参照ください。
- sudo バージョン 1.8.2 から 1.8.31p2
- sudo バージョン 1.9.0 から 1.9.5p1
なお、本脆弱性を発見したQualys社は、"sudoedit -s /"コマンドを実行し、"sudoedit:"から始まるエラーが表示されると脆弱性の影響を受け、"usage:"から始まるエラーが表示されると影響を受けない、という情報を公開しています。
https://www.jpcert.or.jp/at/2021/at210005.html
参考:
https://www.jpcert.or.jp/at/2021/at210005.html
https://security.sios.com/vulnerability/sudo-security-vulnerability-20210127.html
CentOS7・AmazonLlinux2・AmazonLlinux・RHEL8・RHEL7
sudo 脆弱性対応 手順書作成
■CentOS7・AmazonLlinux2・AmazonLlinux・RHEL8・RHEL7
- 作業前確認 (sudoedit: ~ と表示される場合は対応が必要です。)
$ sudoedit -s /
----
sudoedit: /: 通常ファイルではありません
----
- パッケージアップデート
$ sudo yum update sudo
- 確認 (usage: ~ 始まれば対応完了です。)
$ sudoedit -s /
----
usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout] [-u user] file ...
----
※サポート終了のOS (CensOS6とCentOS5)
■CentOS6
rpm -Fvh https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el6.x86_64.rpm
sudoedit -s /
----
usage: sudoedit . . .
----
■CentOS5
rpm -Fvh https://github.com/sudo-project/sudo/releases/download/SUDO_1_9_5p2/sudo-1.9.5-3.el5.x86_64.rpm
sudoedit -s /
----
usage: sudoedit . . .
----
Ubuntu 16.4LTS 18.04LTS 20.04LTS
Ubuntu 16.4LTS 18.04LTS 20.04LTS
■バージョン確認
$ cat /etc/issue
----
Ubuntu 18.04.5 LTS \n \l
----
■対象か確認
$ sudoedit -s /
----
sudoedit: /: not a regular file
----
■パッケージリストを確認
dpkg -l sudo
----
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-===================-==============-==============-===========================================
ii sudo 1.8.21p2-3ubun amd64 Provide limited super user privileges to sp
----
■パッケージリストの更新
sudo apt update
■sudo パッケージ更新
sudo apt install sudo
■確認
sudoedit -s /
----
usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-T timeout]
[-u user] file ...
----