Sudo-Lücke ermöglicht Admin-Rechte für alle Nutzer

Ein Mitglied der Hackergruppe Phenolit hat eine gefährliche Lücke im Programm sudo entdeckt, das auf Unix-artigen Systemen wie Linux oder Mac OS X dazu dient, Root-Rechte zu erlangen. Normalerweise ist dazu die Eingabe des Passworts erforderlich.

Über einen Format-String-Angriff, bei dem ein Hacker Format-Spezifikationen wie %s oder %n aus der printf-API-Familie in den Formatstring einschleust, lässt sich sudo jedoch austricksen. Betroffen sind die Versionen 1.8.0 bis 1.8.3p1. ZDNet hat den Angriff auf einem aktuell gepatchten Debian-System nachvollzogen. Inzwischen ist Version 1.8.3p2 erschienen, die das Problem beseitigt.

Konkret lädt sudo den Parameter argv[0], der den Programmnamen enthält, in einen Formatstring. Normalerweise lautet der Parameter daher „sudo“ wie das Programm selbst. Setzt man aber einen Softlink auf das sudo-Binary, der einen Namen wie %s oder %n trägt, lassen sich auf diese Weise beliebige Speicherinhalte einschleusen. Um die Lücke auszunutzen, muss der Angreifer sudo mit einem hohem Debug-Level ausführen.

Am einfachsten nutzt man dazu die SUDO_ASKPASS-Erweiterung, die das Passwort nicht über das Terminal abfragt, sondern über eine externe Anwendung, etwa einen GUI-Dialog. Über den Format-String-Angriff überschreibt man die Funktion setuid durch das aufrufkompatible setgid. Auf diese Weise wird die selbstbestimmte externe Anwendung mit Root-Rechten ausgeführt. Diese Anwendung kann beispielsweise eine bash-Shell sein.

Ausdrücklich weist „joernchen“ von Phenolit darauf hin, dass es nicht ausreicht, sudo mit FORTIFY_SOURCE zu kompilieren. Das mache den Angriff zwar „schmerzhaft“, aber nicht unmöglich, schreibt er unter Verweis auf einen Artikel bei Phrack.

Nutzer sollten mit dem Befehl sudo -V nachsehen, ob ihre sudo-Version von der Lücke betroffen ist. Wenn das der Fall ist, sollte man bis zum Erscheinen eines Fixes für die jeweilige Distribution die Version 1.8.3p2 selbst kompilieren und installieren.