-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [16/10/2019]: Vulnerabilidade no comando sudo Prezados, O CAIS alerta para a recente vulnerabilidade crítica encontrada no comando "sudo" de sistemas operacionais baseadas em Unix, que pode permitir acesso indevido como superusuário no sistema. Já foram divulgadas formas de exploração para a vulnerabilidade identificada. DESCRIÇÃO A vulnerabilidade se refere à interpretação incorreta do sistema operacional na execução do comando "sudo". Um usuário malicioso pode executar o comando utilizando determinados UIDs de usuário, "-1" ou "4294967295", como parâmetro e dessa forma pode ganhar acesso ao sistema com permissões administrativas (root) sem solicitação de senha. Essa exploração somente será bem sucedida em cenários específicos onde o arquivo de políticas "sudoers" estiver configurado de forma que permita a execução de comandos para um usuário sem privilégios administrativos e os restrinja para o usuário "root". SISTEMAS IMPACTADOS Comando "sudo" em plataformas baseadas em Unix. VERSÕES AFETADAS Sudo versão 1.8.28 e anteriores. CORREÇÕES DISPONÍVEIS - - Atualizar a versão do "sudo" para a mais recente disponibilizada para sua plataforma; - - Verificar e atualizar as políticas do arquivo "sudoers" para as melhores práticas de uso conforme recomendação do desenvolvedor. IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-14287 MAIS INFORMAÇÕES https://www.sudo.ws/alerts/minus_1_uid.html https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html https://usn.ubuntu.com/4154-1/ https://access.redhat.com/security/cve/cve-2019-14287 https://www.debian.org/security/2019/dsa-4543 https://www.suse.com/support/update/announcement/2019/suse-su-20192656-1/ https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=241244 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJdpxe/CRB83qA0uPj0mAAAEMQP/0NvHrfAK5+DahI/85WK f1MpAwikPAzh37Ga9guB/qCzRufZ2ufbo455ZywfSNEgCI/VM7xJTbE/Js6I HUS5T66UpjZsLpEEk27D6yIsPB5I82sKJBsGvlmFAdXrasUJTHkq8OmUKsEm dekzzVFCE8zzMuvpJ0OfzCVorXgXZE7LNJdy3B4hpqIx/b1wapEdaBuZnxx+ poEyH8ouD2FYkgLfUdg0Na2Uqh1P/KPhtIW/QD3bgdNek7SdHLq85xWxAj6g lmF+M9cYeJnXgVdR8kVQoWbHESBLYZqu+ZOOZ3etsZc4T9Jd7zCyFKtXH1zb VzTid3OhVGH8u/VPxXUu34FdVV6NaLj1T+smyXwyECcYi9weUi1ahx1beOEg iKN11Nqvt+J0HZ0FD1+HBmsoRl7BSR0ldX5hpEE1n+hPHzPVPcW5S0qMceRW SkSJ+GG58u9osy4enseyxBduvMab4C4qa51hdeFPLX4ldP5iJCoqWtTCvq3X uAKBAS9gdt3qmSJspLr/zsk+Uiy1NveDpRVRfKl95meIjIu4fQ1qaUGFqWxs 9zTN/K83irK24yp4wgTuFNQMIXv1Ik3lB12uO5+q4etnre8hkMCm/tI2qwm2 wlBYr5JPzbV57EgYmruc2UlTGk4Yls3EiJRCCy+7698L5ln+KA87TtCr23A7 Qs7N =bzwJ -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta