-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [16/10/2019]: Vulnerabilidade no comando sudo

Prezados,

O CAIS alerta para a recente vulnerabilidade crítica encontrada no comando "sudo" de sistemas operacionais baseadas em Unix, que pode permitir acesso indevido como superusuário no sistema. Já foram divulgadas formas de exploração para a vulnerabilidade identificada.


DESCRIÇÃO

A vulnerabilidade se refere à interpretação incorreta do sistema operacional na execução do comando "sudo". Um usuário malicioso pode executar o comando utilizando determinados UIDs de usuário, "-1" ou "4294967295", como parâmetro e dessa forma pode ganhar acesso ao sistema com permissões administrativas (root) sem solicitação de senha.

Essa exploração somente será bem sucedida em cenários específicos onde o arquivo de políticas "sudoers" estiver configurado de forma que permita a execução de comandos para um usuário sem privilégios administrativos e os restrinja para o usuário "root".


SISTEMAS IMPACTADOS

Comando "sudo" em plataformas baseadas em Unix.


VERSÕES AFETADAS

Sudo versão 1.8.28 e anteriores.


CORREÇÕES DISPONÍVEIS

 - - Atualizar a versão do "sudo" para a mais recente disponibilizada para sua plataforma;
 - - Verificar e atualizar as políticas do arquivo "sudoers" para as melhores práticas de uso conforme recomendação do desenvolvedor.


IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2019-14287


MAIS INFORMAÇÕES

https://www.sudo.ws/alerts/minus_1_uid.html
https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html
https://usn.ubuntu.com/4154-1/
https://access.redhat.com/security/cve/cve-2019-14287
https://www.debian.org/security/2019/dsa-4543
https://www.suse.com/support/update/announcement/2019/suse-su-20192656-1/
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=241244


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos!
Twitter: @RedeRNP @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=bzwJ
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
http://listas.rnp.br/mailman/listinfo/rnp-alerta