1. 修復(fù)的CVE

·CVE-2019-14287

描述：在sudo實(shí)現(xiàn)使用任意用戶(hù)ID運(yùn)行命令的方式中發(fā)現(xiàn)了一個(gè)缺陷。如果sudoers條目被寫(xiě)入以允許攻擊者以root以外的任何用戶(hù)身份運(yùn)行命令，則攻擊者可以利用該缺陷繞過(guò)該限制。

·CVE-2019-18634

描述：當(dāng)sudoers文件上的“pwfeedback”選項(xiàng)設(shè)置為true時(shí)，在Sudo應(yīng)用程序中發(fā)現(xiàn)了一個(gè)缺陷。在某些情況下，即使沒(méi)有Sudo權(quán)限，經(jīng)過(guò)身份驗(yàn)證的用戶(hù)也可以使用此漏洞觸發(fā)基于堆棧的緩沖區(qū)溢出。緩沖區(qū)溢出可能使攻擊者暴露或損壞內(nèi)存信息，使Sudo應(yīng)用程序崩潰，或者可能注入要作為根用戶(hù)運(yùn)行的代碼。

·CVE-2021-3156

描述：Sudo是一款使用于類(lèi)Unix系統(tǒng)的，允許用戶(hù)通過(guò)安全的方式使用特殊的權(quán)限執(zhí)行命令的程序。 Sudo before 1.9.5p2 存在緩沖區(qū)錯(cuò)誤漏洞，攻擊者可使用sudoedit -s和一個(gè)以單個(gè)反斜杠字符結(jié)束的命令行參數(shù)升級(jí)到root。

2. 受影響的軟件包

·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10

aarch64架構(gòu):

sudo、sudo-devel

x86_64架構(gòu):

sudo、sudo-devel

·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7

aarch64架構(gòu):

sudo、sudo-devel

x86_64架構(gòu):

sudo、sudo-devel

·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6

x86_64架構(gòu):

sudo、sudo-devel

·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1

aarch64架構(gòu):

sudo、sudo-devel、sudo-help

mips64el架構(gòu):

sudo、sudo-devel、sudo-help

x86_64架構(gòu):

sudo、sudo-devel、sudo-help

3. 軟件包修復(fù)版本

·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10

sudo-1.8.23-10.el7_9.1

sudo-devel-1.8.23-10.el7_9.1

·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7

sudo-1.8.23-10.el7_9.1

sudo-devel-1.8.23-10.el7_9.1

·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6

sudo-1.8.6p3-29.el6_10.3.ns6.01

sudo-devel-1.8.6p3-29.el6_10.3.ns6.01

·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1

sudo-1.9.2-2.ky10

sudo-devel-1.9.2-2.ky10

sudo-help-1.9.2-2.ky10

4. 修復(fù)方法

方法一：配置源進(jìn)行升級(jí)安裝

1. 打開(kāi)軟件包源配置文件，根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改。

倉(cāng)庫(kù)源地址：

銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10

aarch64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/updates/aarch64/

x86_64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/updates/x86_64/

中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7

aarch64:https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/

x86_64:https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/x86_64/

銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1

aarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/aarch64/

mips64el:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/mips64el/

x86_64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/x86_64/

中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6

x86_64:https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/

2. 配置完成后執(zhí)行更新命令進(jìn)行升級(jí)，命令如下：

yum update Packagename

方法二：下載安裝包進(jìn)行升級(jí)安裝

通過(guò)軟件包地址下載軟件包，使用軟件包升級(jí)命令根據(jù)受影響的軟件包列表進(jìn)行升級(jí)安裝,命令如下：

yum install Packagename

3. 升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng)：

·CVE-2019-14287：無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。

·CVE-2019-18634：無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。

·CVE-2021-3156：無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。

5. 軟件包下載地址

·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10

sudo（aarch64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/updates/aarch64/Packages/sudo-1.8.23-10.el7_9.1.aarch64.rpm

https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/updates/aarch64/Packages/sudo-devel-1.8.23-10.el7_9.1.aarch64.rpm

sudo（x86_64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/updates/x86_64/Packages/sudo-1.8.23-10.el7_9.1.x86_64.rpm

https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/updates/x86_64/Packages/sudo-devel-1.8.23-10.el7_9.1.i686.rpm

https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/updates/x86_64/Packages/sudo-devel-1.8.23-10.el7_9.1.x86_64.rpm

·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7

sudo（aarch64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/sudo-1.8.23-10.el7_9.1.aarch64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/aarch64/Packages/sudo-devel-1.8.23-10.el7_9.1.aarch64.rpm

sudo（x86_64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/x86_64/Packages/sudo-1.8.23-10.el7_9.1.x86_64.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/x86_64/Packages/sudo-devel-1.8.23-10.el7_9.1.i686.rpm

https://update.cs2c.com.cn/NS/V7/V7Update9/os/adv/lic/updates/x86_64/Packages/sudo-devel-1.8.23-10.el7_9.1.x86_64.rpm

·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1

sudo（aarch64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/aarch64/Packages/sudo-1.9.2-2.ky10.aarch64.rpm

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/aarch64/Packages/sudo-devel-1.9.2-2.ky10.aarch64.rpm

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/aarch64/Packages/sudo-help-1.9.2-2.ky10.noarch.rpm

sudo（mips64el）軟件包下載地址:

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/mips64el/Packages/sudo-1.9.2-2.ky10.mips64el.rpm

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/mips64el/Packages/sudo-devel-1.9.2-2.ky10.mips64el.rpm

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/mips64el/Packages/sudo-help-1.9.2-2.ky10.noarch.rpm

sudo（x86_64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/x86_64/Packages/sudo-1.9.2-2.ky10.x86_64.rpm

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/x86_64/Packages/sudo-devel-1.9.2-2.ky10.x86_64.rpm

https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/base/x86_64/Packages/sudo-help-1.9.2-2.ky10.noarch.rpm

·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6

sudo（x86_64）軟件包下載地址:

https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/sudo-1.8.6p3-29.el6_10.3.ns6.01.x86_64.rpm

https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/sudo-devel-1.8.6p3-29.el6_10.3.ns6.01.i686.rpm

https://update.cs2c.com.cn/NS/V6/V6.10/os/lic/updates/x86_64/Packages/sudo-devel-1.8.6p3-29.el6_10.3.ns6.01.x86_64.rpm

注：其他相關(guān)依賴(lài)包請(qǐng)到相同目錄下載

6. 修復(fù)驗(yàn)證

使用軟件包查詢(xún)命令，查看相關(guān)軟件包版本是否與修復(fù)版本一致，如果版本一致，則說(shuō)明修復(fù)成功。

sudo rpm -qa | grep Packagename