当前主机存在Sudo CVE-2021-3156漏洞:Sudo1.8.23升级1.9.5p2

Sudo权限绕过漏洞(CVE-2019-14287)
Sudo缓冲区溢出漏洞(CVE-2021-3156)

根据安全漏洞CVE-2021-3156, 受影响的 Sudo 版本:

Sudo 版本 1.7.7 到 1.7.10p9、1.8.2 到 1.8.31p2 和 1.9.0 到 1.9.5p1 受到影响。

sudo官网:https://www.sudo.ws/
sudo下载地址:https://www.sudo.ws/getting/download/

一、在线更新

sudo yum update -y sudo

更新失败可以采用离线更新方案。
离线更新前先杀掉yum进程pkill-9 yum

二、离线更新

1、查看本机sudo版本

# sudo --version
Sudo 版本 1.8.23
...
Sudoers I/O plugin version 1.8.23

2、备份sudo相关文件

1# mkdir /etc/bak_sudo
2# find /etc/ -maxdepth 1 -name "sudo*" -exec cp -r {} /etc/bak_sudo/ \;
3# cp /usr/bin/sudo /usr/bin/sudo_bak_1823
4# cp -r /usr/libexec/sudo /usr/libexec/sudo_bak_1823

3、安装编译新的sudo

1# tar -xf sudo-1.9.5p2.tar.gz
2# cd sudo-1.9.5p2/
3# ./configure --prefix=/opt/sudo  --libexecdir=/usr/libexec  --with-secure-path  --with-all-insults  --with-env-editor  --docdir=/usr/share/doc/sudo-1.9.5p2 --with-passprompt="[sudo] password for %p: " 
4# make && make install

4、替换旧的版本的库文件和二进制命令

1# ln -sfv libsudo_util.so.0.0.0 /usr/libexec/sudo/libsudo_util.so.0
2# ln -sfv /opt/sudo/bin/sudo /usr/bin/

5、验证sudo版本

# sudo --version
Sudo 版本 1.9.5p2
Sudoers I/O plugin version 1.9.5p2
Sudoers audit plugin version 1.9.5p2

 

注:如果升级后sudo不可用,可先回退之前版本

1# mv /usr/bin/sudo /usr/bin/sudo_bak_195 
2# mv /usr/libexec/sudo /usr/libexec/sudo_bak_195
3# mv /usr/bin/sudo_bak_182  /usr/bin/sudo 
4# mv /usr/libexec/sudo_bak_182 /usr/libexec/sudo

环境缺少gcc依次安装如下软件包即可

百度网盘:https://pan.baidu.com/s/1YaFuP_C7k1TUxGHYlkubIw
提取码:f5q4

正常安装如下rpm包解决GCC
#--force 即使覆盖属于其它包文件也强制安装。
#--nodeps 如果该RPM包的安装依赖其它包,即使其它包没装,也强制安装。
rpm -ivh mpfr-3.1.1-4.el7.x86_64.rpm
rpm -ivh libmpc-1.0.1-3.el7.x86_64.rpm
rpm -ivh kernel-headers-3.10.0-862.el7.x86_64.rpm
rpm -ivh glibc-headers-2.17-222.el7.x86_64.rpm  --nodeps --force
rpm -ivh glibc-devel-2.17-222.el7.x86_64.rpm    --nodeps --force
rpm -ivh cpp-4.8.5-28.el7.x86_64.rpm    --nodeps --force
rpm -ivh gcc-4.8.5-28.el7.x86_64.rpm    --nodeps --force

参考:https://www.jianshu.com/p/9b5767e138b4

       https://blog.csdn.net/mr_wanter/article/details/126889574

 #单机升级脚本

#!/bin/bash

#检查是否有gcc编译
check=$(yum list installed |grep -E  "gcc\.x86_64|gcc\-c\+\+\.x86_64|libgcc\.x86_64"|wc -l)
[[ ${check} -lt 3 ]] && echo "环境缺少gcc,请安装 gcc.x86_64 gcc-c++.x86_64 gcc-c++.x86_64 后再次执行此脚本。" && exit

#备份sudo相关文件
[[ -d /etc/bak_sudo ]] || mkdir /etc/bak_sudo
find /etc/ -maxdepth 1 -name "sudo*" -exec cp -r {} /etc/bak_sudo/ \;

#备份两个文件,后面升级失败的话,可以回退这个两个文件即可
cp /usr/bin/sudo /usr/bin/sudo_bak_182                          
cp -r /usr/libexec/sudo /usr/libexec/sudo_bak_182

#编译安装新的sudo
tar -xf sudo-1.9.5p2.tar.gz
cd sudo-1.9.5p2/
./configure --prefix=/opt/sudo  --libexecdir=/usr/libexec  --with-secure-path  --with-all-insults  --with-env-editor  
--docdir=/usr/share/doc/sudo-1.9.5p2 --with-passprompt="[sudo] password for %p: " make && make install #替换旧的版本的库文件和二进制命令 ln -sfv libsudo_util.so.0.0.0 /usr/libexec/sudo/libsudo_util.so.0 ln -sfv /opt/sudo/bin/sudo /usr/bin/

回滚脚本(如果升级后sudo不可用,可先回滚)

#!/bin/bash
mv /usr/bin/sudo /usr/bin/sudo_bak_195 
mv /usr/libexec/sudo /usr/libexec/sudo_bak_195
mv /usr/bin/sudo_bak_182  /usr/bin/sudo 
mv /usr/libexec/sudo_bak_182 /usr/libexec/sudo

  

posted on 2023-05-08 15:49  大兄弟666  阅读(282)  评论(0编辑  收藏  举报