Falha no sudo permite execução de comandos restritos como root

System

Uma falha de segurança afeta as versões do sudo anteriores à 1.8.28, permitindo que usuários executem comandos como root, mesmo que estes estejam restritos.

A vulnerabilidade recebeu a designação CVE-2019-14287, e foi descoberta por Joe Vennix da Apple Information Security, sendo divulgada pelo projeto Sudo.

O interessante é que um atacante pode explorar a falha de segurança simplesmente especificando um ID “-1” ou “4294967295” para o usuário, permitindo a execução de comandos como superadministrador, sem restrições.

Administradores de sistemas GNU/Linux são recomendados a atualizarem os sistemas sob sua tutela imediatemente para a versão mais recente do sudo, cuja vulnerabilidade já foi corrigida. No momento em que escrevo este post, a dsitribuição Slackware Linux já havia disponibilizado pacotes de correção para as versões -current, 14.0, 14.1 e 14.2.

Algumas distribuições de referência, como Red Hat e derivadas, ainda não haviam divulgado atualizações para corrigir a falha, enquanto outras, como Ubuntu Linux e Debian Linux, haviam disponibilizado correções para algumas das versões sendo mantidas.

Slackware Linux – Atualizações de segurança. Junho, 2019.

Slackware logo

Mês movimentado por diversas atualizações de segurança junto a distribuição Slackware Linux, principalmente pelas correções realizadas pela Mozilla para o navegador Firefox, bem como para o seu cliente de e-mails Thunderbird, contando com duas versões disponibilizadas para cada um deles somente neste período.

No momento em que escrevo este post, o navegador e o cliente de e-mails mantido pela Mozilla estão disponíveis em suas versões 60.7.2, tanto para a versão estável 14.2 da Slackware Linux, quanto para a árvore de desenvolvimento current da distribuição.

Além dos produtos citados e oferecidos pela Mozilla, o servidor de resolução de nomes Bind também recebeu correções de segurança, mitigando explorações que geravam uma negação do serviço, sendo disponibilizado agora em sua versão 9.11.8 para diversas versões da distribuição Slackware, sendo elas: 14.0, 14.1, 14.2 e current.

Por último, mas não menos importante, correções também foram aplicadas ao kernel Linux, visando mitigar diversas falhas de segurança, entre elas a conhecida como “SACK Panic”, descoberta por engenheiro de segurança que atua junto a Netflix, e que podia originar negações de serviço remotamente.

As correções foram disponibilizadas junto à versão 4.4.182 do kernel Linux, junto às versões 14.2 e current da distribuição Slackware no dia 18/06, porém depois disso já houveram avanços, especificamente junto a árvore current, que neste momento conta com a versão 4.19.53 do kernel Linux.

Para consultar mais detalhes a respeito das atualizações disponibilizadas, acesse a página Slackware Security Advisories.

Slackware Linux 14.2 – Atualização de segurança. Janeiro, 2019.

Slackware logo

Encerrando as atualizações de segurança para o mês de janeiro, a Slackware Linux disponibilizou novos pacotes do kernel Linux, especificamente para a versão 14.2 da distribuição.

Esse upgrade visa mitigar vulnerabilidades menores, aplicando as correções disponibilizadas nas revisões 4.4.159, 4.4.160, 4.4.163, 4.4.164, 4.4.167, 4.4.168, 4.4.169, 4.4.170, 4.4.171 e 4.4.172 do kernel Linux, cobrindo um total de 31 falhas de segurança corrigidas.

É sempre uma boa prática a atualização dos sistemas e aplicações em uso nos ambientes computacionais, principalmente quando se tratam de upgrades relacionados a segurança, mitigando os riscos de exploração das vulnerabilidades corrigidas.

Pacotes para sistemas de 32 ou 64 bits da distribuição, já podem ser baixados e instalados a partir dos repositórios oficiais.

Vale lembrar que é necessária a execução do lilo em sistemas que utilizem a BIOS para a inicialização, bem como o elilo para sistemas que utilizem UEFI, atualizando as imagens do kernel para os locais corretos.

A reinicialização também é recomendada, portanto escolha a janela de atualização apropriada, para os casos de utilização em ambientes de produção.

Mais detalhes referentes à atualização podem ser vistos através deste link, na página oficial da Slackware Linux.