※ [本文转录自 NetSecurity 看板 #1W4MUNUP ]
作者: CMJ0121 (不要偷 Q) 看板: NetSecurity
标题: [情报] sudo CVE-2021-3156
时间: Wed Jan 27 21:16:04 2021
简单来说呢 有在使用 sudo 的环境记得升级一下 sudo 版本
中文版本文章[0]表示 有研究人员发现 sudo 有 heap overflow[1] 的状况
适用情境包含所有系统内的使用者 (含非 sudoer)
所以这个漏洞应该是很好用 (?)
另外 最近在玩 root-me 其中有一关[2]是满满的 sudo 误用的情况
玩到现在的心得就是 不要给 sudo 权限就对了
[0]: https://www.ithome.com.tw/news/142469
[1]: https://en.wikipedia.org/wiki/Heap_overflow
[2]: https://www.root-me.org/en/Challenges/App-Script/Bash-Restricted-shells

Debian, Ubuntu, SUSE, RHEL 都 patch 了, CentOS 不管哪个系列的再等等或是自己抓 git.centos.org 的 patch下来从 SRPM 重编

今天看新闻好像也是陈年漏洞 (X

不过也是最近才揭露的，昨天patch了

CentOS 7 已更新

原来 sudo 比 root 还危险！:p

对 CentOS 都更新了

root只有root本人犯错,sudo增加更多人可以犯错,确实比较危险 (误)

小的我跳出来回一下我当初的意思 我玩到后来偏好 sudo就全开权限、不要只开部分程式权限另外 sudo 的好处就是纪录哪个人执行高权限指令

@CMJ0121 看怎么使用，及视所处层次而定。但把root掉，我觉得不是很好的做法。请参考以下文章：https://tinyurl.com/y9tuzpa4s/root掉/root拿掉/

doas 有比 sudo 安全吗？我看一个叫 Mental Outlaw的 YouTuber 一直推荐之前他就推过，这次出事他马上跳出来呼吁

还好我都没在用sudo

@S\d.* 工具只是工具，看怎么用，有洞就补起来。OpenSSL 不是号称安全吗？结果爆出血来，补都来不及所以才会有 LibreSSL 出来。

不相信doas也要相信OpenBSD吧

是在说用工具的态度问题，不是在说 doas 不好。LibreSSL 就是 OpwnBSD 从 OpenSSl fork 出来的。s/OpwnBSD/OpenBSD/

我觉得功能类似 sudo 的工具都可以了解一下, doas 或是红帽常在桌面环境用的 polkit 也可以大概知道一下

那么各大发行版怎么不默认用 doas？

2015 才出现，虽马上就 port 到 linux(OpenDoas)可能还要观察吧？但 arch/gentoo/void 有提供。

各大发行版怎么不默认nftables偋弃iptables?怎么不默认gcc 10? 怎么不默认suckless WM还在DE?

CentOS 8 把 iptables 丢了啊

啊就先遣队呀！XD

其实 Debian >=10 和 CentOS >=8 都转 nftables 了..Ubuntu 因为自家的一些东西还有 issue 还没在 LTS 转

debian iptables-legacy 还能装，CentOS 8 要 rebuild修正一下，debian 10 iptables-legacy 还留在 iptablespackage 里

什么！连 iptables 也过时了？

呃，楼上不会要用 pf 为默认吧？XD

搞不好还很多人在用 ifconfig

ifconfig 也过时了？我当初在 Manjaro 很疑惑怎么没这指令看介绍感觉 nftables 好很多耶已改用 doas，设定真的简单多了

楼上，提醒一下，ports 是 ports, 不是原来的 doas曾有一 ports（不是 OpenDoas），发生过大漏洞，和原来的 doas 无关。虽然很快就补好了，不过也因此给大家留下阴影。或许装个 OpenBSD 玩玩看？@Bencrie 你是说 ipchains？BTW, OpenDoas 比较像是 fork 而不是 port。

arch 官方提供的应该是可靠的？opendoas 的开发者说 AUR 的那个 doas 比较不可靠真的吗？

呃，这个我不予置评！:P能确定你装的来源吗？指 source 来源。如果你装的是 Duncaen 的版本，请赶快补洞吧！https://tinyurl.com/yxzer28v这个月 28 号发的安全通报（中国）。https://tinyurl.com/y4lwn4wg

ifconfig 就被 iproute2 取代掉的那个旧命令

ifconfig 我知道，我的意思是 ipchains vs iptables功能上比较相当。我有保留一个 kernel 2.6.x 的旧系统，有 ifconfig。

archlinux 都有即使更新呀就是他说的https://github.com/Duncaen/OpenDoas/issues/50#issuecomment-770243361

嗯，我刚刚查了一下，arch 在 29 号就更新了，动作很快。AUR 的版本就是 FreeBSD 采用的版本。参与者多。也是我提到当初有大漏洞的版本。VM 装个 OpenBSD 吧！你会爱上她的 pf。

那游戏方面呢？好像比较难学？

https://tinyurl.com/l8thm9s不过，在 OpenBSD 上玩 game 有点浪费……https://tinyurl.com/l8thm9shttps://openports.se/games

当然是灌 VM 跑 Win10 玩 STEAM 3A 大作

AUR 的那个开发者说是那个作者想诋毁他们，他们后来还把他给封锁但 Arch 又是提供 opendoas到底什么情况

所以呀！我会叫你在 VM 装个 OpenBSD 玩看看！XD这里头牵涉到 BSD auth 整体身份认证结构，有点和OpenBSD 绑死的那种情形。github/gitlib 还有其也的repo，但最后都没敢 release。砑要选的话，我会选 Duncaen 的版本。原因是他是Void Linux 的主要开发者之一，对 Linux 整体结构非常熟悉。另外他们也把 LibreSSL 到 Void 里头去，所以经验比较丰富。s/砑/硬/s/LibreSSL 到 Void/LibreSSL port 到 Void/@Bencrie 如果是说在 OpenBSD 灌 VM，目前还很抱歉。

在 Arch 论坛上面大家一面倒地认为 Duncaen 有道理看来 slicer69 的开发方式真的有问题而且 AUR 的那个是移植旧版的

好好吃饱，好好长大，好好读书，好好修练，你以后就会有能力去 review 他们的 code，判断谁是谁非。

看了 FreeBSD 的安装过程和 Linux 好像

你说哪个发行版...我觉得 Linux 光不同发行版就差很多

如果是说从 cd/iso copy 到 HD，这大家都很像。XD要灌 *BSD，先了解它的碰碟配置结构，这和一般不同。如果搞不清楚，现代的 *BSD 有一个 A 的选项，自动的s/碰碟/磁盘/

我会觉得 FreeBSD 某些安装步骤颇像 Android_x86 (?