ГлавнаяБаза уязвимостей БДУ → BDU:2021-00364
7.2высокая

BDU:2021-00364 (CVE-2021-3156)

Уязвимость функции parse_args() программы системного администрирования Sudo, позволяющая нарушителю повысить свои привилегии до уровня root
Опубликовано: 2021-01-28
Описание

Уязвимость функции parse_args() программы системного администрирования Sudo связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root

Затрагиваемое ПО и версии
Ubuntu (12.04)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Virtualization (4)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Red Hat Enterprise Linux (7.6 Extended Update Support)Red Hat Enterprise Linux (7.2 Advanced Update Support)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Enterprise Linux (7.4 US for SAP Solutions)Red Hat Enterprise Linux (7.3 Advanced Update Support)Fedora (32)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)Ubuntu (20.04 LTS)Ubuntu (20.10)Red Hat Enterprise Linux (8.1 Extended Update Support)Red Hat Enterprise Linux (7.7 Extended Update Support)Fedora (33)Red Hat Enterprise Linux (8.2 Extended Update Support)Red Hat Enterprise Linux (6 Extended Lifecycle Support)Sudo (до 1.9.5p2)UBLinux (21.1)UBLinux (2102)
Способ устранения

Использование рекомендаций:
Для Sudo:
https://www.sudo.ws/stable.html#1.9.5p2

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4705-1
https://ubuntu.com/security/notices/USN-4705-2

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-3156
https://bugzilla.redhat.com/show_bug.cgi?id=1917684

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4839

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CALA5FTXIQBRRYUA2ZQNJXB6OQMAXEII/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LHXK6ICO5AYLGFK2TAX5MZKUXTUKWOJY/

Для Ред ОС:
https://redos.red-soft.ru/updatesec/

Для UBLinux:
https://security.ublinux.ru/ASA-202101-25/generate

Для Astra Linux:
Обновление программного обеспечения (пакета sudo) до 1.8.19p1-2.1+deb9u3 или более поздней версии
Или использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения sudo до версии 1.8.27-1+deb10u3.strelets2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2719

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
http://packetstormsecurity.com/files/161230/Sudo-Buffer-Overflow-Privilege-Escalation.htmlhttp://packetstormsecurity.com/files/161270/Sudo-1.9.5p1-Buffer-Overflow-Privilege-Escalation.htmlhttp://packetstormsecurity.com/files/161293/Sudo-1.8.31p2-1.9.5p1-Buffer-Overflow.htmlhttp://seclists.org/fulldisclosure/2021/Jan/79http://www.openwall.com/lists/oss-security/2021/01/26/3http://www.openwall.com/lists/oss-security/2021/02/15/1https://access.redhat.com/security/cve/cve-2021-3156https://bugzilla.redhat.com/show_bug.cgi?id=1917684
Проверьте безопасность своего сайта и почты → Полная проверка домена