명령줄 인수 구문 분석 과정에서의 권한 상승 문제 - sudo - (CVE-2021-3156)

요약

Red Hat은 sudo가 명령줄 인수를 처리하는 방식에 취약점이 있음을 인지하고 있습니다. 로컬 공격자는 이러한 보안 취약점을 사용하여 메모리를 손상시키고 충돌 또는 권한 상승을 유발할 수 있습니다. sudo 패키지는 기본적으로 Red Hat Enterprise Linux에 설치되어 있으며 사용자는 sudo를 사용하여 다른 사용자 (일반적으로 root 사용자)로 명령을 실행할 수 있습니다. 이 문제는 CVE-2021-3156으로 지정되었으며 Red Hat Product Security 팀은 이러한 문제로 인한 보안 심각도 등급을 중요로 분류하고 있습니다. 이 문제의 영향을 받는 고객은 최신 sudo 버전으로 업그레이드해야 합니다. 

영향을 받는 Red Hat 제품 버전은 다음과 같습니다.

• Red Hat Enterprise Linux 6

• Red Hat Enterprise Linux 7

• Red Hat Enterprise Linux 8

Red Hat에서 제공하는 컨테이너는 이러한 문제의 직접적인 영향을 받지 않지만 보안은 기본 이미지의 무결성 및 업데이트 (예: RHEL 패키지 업데이트 등) 상태에 따라 달라집니다. Red Hat은 최신 버전의 컨테이너 이미지를 사용할 것을 권장합니다. Red Hat Container Catalog의 일부인 Container Health Index를 사용하여 다음과 같은 Red Hat 컨테이터의 보안 상태를 확인할 수 있습니다.

• Red Hat OpenShift Container Platform 4 (RHEL CoreOS)

• Red Hat Virtualization (RHV) 4.3 및 4.4

• rook-ceph-operator-container-4.6

• cephcsi-container-4.6

현재 사용 중인 시스템에 보안 취약점이 있는지 확인하려면 아래의 “진단” 섹션을 참조하십시오.

기술 요약

sudo가 명령줄 인수를 구문 분석하는 방식에서 힙 기반 버퍼 오버플로가 발견되었습니다. 이 취약점은 인증되지 않은 (즉, 공격자가 사용자의 암호를 알 필요가 없음) 모든 로컬 사용자 (사용자 및 시스템 사용자, sudo 사용자 및 비 sudo사용자)가 악용할 수 있습니다. 이 취약점을 악용하여 공격에 성공하는 경우 권한 상승 문제가 발생할 수 있습니다.

완화 방법

Red Hat Product Security 팀은 고객이 사용 가능한 고정 sudo 패키지로 업데이트할 것을 적극 권장합니다. 즉시 업데이트할 수 없는 고객의 경우 systemtap을 사용하여 다음과 같은 임시적이고 부분적인 완화 조치를 취할 것을 권장합니다.

1. 필요한 systemtap 패키지 및 종속성을 설치합니다. 예: 

# yum install systemtap yum-utils kernel-devel-"$(uname -r)"

RHEL 7의 경우 다음을 사용하여 kernel debuginfo를 설치합니다.

# debuginfo-install -y kernel-"$(uname -r)" 

RHEL 8의 경우 다음을 사용하여 sudo debuginfo를 설치합니다.

# debuginfo-install sudo

2. 다음의 systemtap 스크립트를 만듭니다. (파일 이름을 sudoedit-block.stap으로 지정)

probe process("/usr/bin/sudo").function("main")  {

        command = cmdline_args(0,0,"");

        if (strpos(command, "edit") >= 0) {

                raise(9);

        }

}

3. 다음 명령을 사용하여 스크립트를 설치합니다. (root 사용)

# nohup stap -g sudoedit-block.stap &

(이는 systemtap 스크립트의 PID 번호를 출력합니다)

이 스크립트는 보안 취약점이 있는 sudoedit 명령의 작동을 중지시킵니다. sudo 명령은 계속 정상적으로 작동합니다.

위의 변경 사항은 재부팅 후에 유지되지 않으므로 재부팅할 때 마다 변경 사항을 적용해야 합니다.

4. 수정된 새로운 패키지가 설치되면 systemtap 프로세스를 종료하여 systemtap 스크립트를 제거할 수 있습니다.  예를 들어 다음을 사용합니다.

# kill -s SIGTERM 7590 (여기서 7590은 systemtap 프로세스의 PID임)

경고: 심볼릭 링크를 제거하여 sudoedit를 비활성화하지 마십시오. 이는 완전한 완화 조치 옵션이 아닙니다.

영향을 받는 제품의 업데이트

영향을 받는 Red Hat 제품 버전을 실행 중인 모든 Red Hat 고객은 에라타를 사용할 수 있는 즉시 해당 제품을 업데이트할 것을 권장합니다.

[1] 업데이트가 릴리스된 후 권고/업데이트 링크가 추가됩니다.

[2] Red Hat Enterprise Linux Extended Update Support (EUS)서브스크립션이란 무엇입니까?

[3] Advanced mission critical Update Support (AUS)이란 무엇입니까?

[4] Red Hat Enterprise Linux SAP Solutions 서브스크립션이란 무엇입니까?

[5] 이 패치에 액세스하려면 활성 ELS (Extended Life-cycle Support) 서브스크립션이 필요합니다.  해당 계정에 활성 ELS 서브스크립션이 없는 경우 Red Hat 영업 부서 또는 영업 담당자에게 문의하십시오.

영향을 받을 수 있는 제품 및 컨테이너

다음 제품 및 컨테이너는 다른 제품의 영향을 받는 패키지를 사용합니다.  Red Hat에서 제공하는 컨테이너는 이러한 문제의 직접적인 영향을 받지 않지만 보안은 기본 이미지의 무결성 및 업데이트 (예: RHEL 패키지 업데이트 등) 상태에 따라 달라집니다. Red Hat은 최신 버전의 컨테이너 이미지를 사용할 것을 권장합니다. Red Hat Container Catalog의 일부인 Container Health Index를 사용하여 Red Hat 컨테이터의 보안 상태를 확인할 수 있습니다.

서비스 영향

Red Hat OpenShift Dedicated 클러스터는 시스템에 취약한 sudo 버전이 존재하기 때문에 영향을 받습니다. 그러나 sudo 명령에 대한 액세스는 이미 전용 클러스터에서 cluster-admin 권한을 가진 사용자로 제한되어 있으므로 영향은 매우 적습니다.

진단

진단 스크립트를 사용하여 현재 사용 중인 시스템에 보안 취약점이 있는지 확인합니다. 정규 스크립트임을 확인하려면 OpenPGP 분리 서명을 다운로드합니다. GPG 서명을 확인하는 방법은 고객 포털에서 확인할 수 있습니다.

감사 인사

Red Hat은 이 취약점을 보고해 주신 Qualys Security에 감사드립니다.

참고 자료

How to use GPG to verify signed content from Product Security