Beveiligingslek in Sudo gepatcht
Er is een nieuwe versie van Sudo uitgekomen, het programma waarmee systeembeheerders aan bepaalde gebruikers of gebruikersgroepen rechten kunnen geven en al sinds 1980 bestaat. Een "format string" kwetsbaarheid zorgde ervoor dat een aanvaller Sudo kon laten crashen of dat een ongeautoriseerde gebruiker zijn rechten kon verhogen. Het zou dan om root-rechten gaan.
Het lek is aanwezig in Sudo versie 1.8.0 tot en met 1.8.3p1 en werd ontdekt door Joernchen van de Duitse hackergroep Phenoelit. Oudere versies zouden niet kwetsbaar zijn. Gebruikers krijgen het advies om naar versie 1.8.3p2 te upgraden.
Met dank aan SirDice voor de tip
http://d.asset.soup.io/asset/2892/3933_9c08.png
http://d.asset.soup.io/asset/2892/3933_9c08.png
Woo nooit geweten dat je sudo dit kan laten doen. Top.
Deze versies van sudo werden bijvoorbeeld gebruikt door Debian wheezy (testing) en sid (unstable). Ook Ubuntu Precise Pangolin (12.04) gebruikt 1.8.3p1.
Het gaat bij het gevonden lek niet om versies voor de "gewone gebruiker/markt" maar om testversies.
In Debian zitten deze dus niet in de stable release (squeeze, 6.0.4), want een 'sudo -V' geeft 1.7.4p4 aan.
Nu praten we enigszins langs elkaar heen. OK, het zijn stable versies van sudo, maar op Debian zitten deze versies momenteel niet in de stable release. (Web)servers die Debian draaien, zullen stable gebruiken en bevatten dus het lek niet.
Overigens zit versie 1.8.3p2 al in testing en unstable: http://packages.debian.org/wheezy/sudo
Nu praten we enigszins langs elkaar heen. OK, het zijn stable versies van sudo, maar op Debian zitten deze versies momenteel niet in de stable release. (Web)servers die Debian draaien, zullen stable gebruiken en bevatten dus het lek niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.