image

Beveiligingsupdate voor kwetsbaarheid in sudo

dinsdag 15 oktober 2019, 16:05 door Redactie, 11 reacties

De ontwikkelaar van het programma sudo heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid waardoor gebruikers in bepaalde configuraties commando's als root konden uitvoeren terwijl dit eigenlijk niet was toegestaan. In de standaardconfiguratie was sudo niet kwetsbaar.

Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. De kwetsbaarheid deed zich voor wanneer een gebruiker commando's als willekeurige andere gebruikers behalve root kon uitvoeren. In dit geval kon een gebruiker met voldoende sudo-rechten deze beperking omzeilen en toch commando's als root uitvoeren.

Om de kwetsbaarheid te misbruiken moest een gebruiker sudo-rechten hebben om commando's met een willekeurig gebruikers-ID uit te voeren. "Dit houdt normaliter in dat de sudoers entry van de gebruiker de speciale waarde ALL in de Runas specifier heeft. Als een sudoers entry toestaat dat de gebruiker commando's als elke gebruiker behalve root mag uitvoeren, is het via dit lek mogelijk om deze beperking te omzeilen", aldus de uitleg van de kwetsbaarheid.

Het beveiligingslek, dat alleen lokaal is te misbruiken, werd gevonden door Apple-onderzoeker Joe Vennix. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die door Red Hat met een 7,8 beoordeeld. Gebruikers krijgen het advies om te updaten naar sudo 1.8.28. Verschillende Linux-distributies hebben inmiddels updates uitgebracht, zo meldt het Nationaal Cyber Security Centrum (NCSC).

Reacties (11)
15-10-2019, 18:21 door [Account Verwijderd]
Toevoeging voor https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0799: Ook Manjaro Linux (Arch based) heeft de update reeds uitgebracht.
15-10-2019, 20:21 door Anoniem
Door Kili Manjaro: Toevoeging voor https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0799: Ook Manjaro Linux (Arch based) heeft de update reeds uitgebracht.

Evenals Debian, Raspbian en nog talloze distro's. Die hoeven we hier toch niet allemaal te vermelden?
16-10-2019, 00:58 door Anoniem
Door Anoniem:
Door Kili Manjaro: Toevoeging voor https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0799: Ook Manjaro Linux (Arch based) heeft de update reeds uitgebracht.

Evenals Debian, Raspbian en nog talloze distro's. Die hoeven we hier toch niet allemaal te vermelden?
Je weet toch, deze distributie is heel belangrijk voor hem!
16-10-2019, 03:45 door Anoniem
Door Anoniem:
Door Kili Manjaro: Toevoeging voor https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0799: Ook Manjaro Linux (Arch based) heeft de update reeds uitgebracht.

Evenals Debian, Raspbian en nog talloze distro's. Die hoeven we hier toch niet allemaal te vermelden?
Misschien niet, maar het is wel relevant om te vermelden dat er een hele snelle fix voor is uitgebracht. As usual trouwens. Daar kunnen bepaalde commerciële softwarebedrijven nog een puntje aan zuigen.
16-10-2019, 10:20 door Briolet
Door Anoniem:…Die hoeven we hier toch niet allemaal te vermelden?

Dan vermelden welke nog geen update hebben?

Apple draait nog onder 1.8.17 (in elk geval Sierra en High Sierra) en de synology nas nog onder 1.8.20. Maar de bug speelt alleen onder specifieke configuraties. Deze beide systemen gebruiken die configuratie niet, zodat ze daar wel enige tijd met de update zullen wachten.
16-10-2019, 16:32 door Anoniem
Daan van Monsjou, een stagiair werkzaam op de nieuwsredactie van Tweakers.net, wijdt een kort maar bondig artikel aan de geconstateerde in inmiddels opgeloste kwetsbaarheid in sudo. Interessant is het commentaar van zijn lezers, waarbij enkelen van hen de ronduit schokkende eenvoud van de uitvoering van deze potentiële exploit goed wisten te illustreren:

https://tweakers.net/nieuws/158576/ontwikkelaar-vindt-kwetsbaarheid-in-sudo-commando-voor-linux.html
16-10-2019, 21:34 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door Kili Manjaro: Toevoeging voor https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0799: Ook Manjaro Linux (Arch based) heeft de update reeds uitgebracht.

Evenals Debian, Raspbian en nog talloze distro's. Die hoeven we hier toch niet allemaal te vermelden?
Je weet toch, deze distributie is heel belangrijk voor hem!

Nee, Arch is een ondergewaardeerde distro waarop diverse bekende distro's gebaseerd zijn. Debian is al genoemd door het NCSC, Arch zou een leuke aanvulling zijn. Ubuntu noemen heeft geen zin want die is gebaseerd op Debian, evenals Raspbian.
17-10-2019, 10:56 door Anoniem
Van Redhat ook nog niks gehoord.

Wat ik ook een beetje mis in de communicatie is dat het alleen een probleem is bij specifieke configuraties waarbij je users toestaat ALLE andere users te worden, BEHALVE root. Ik kan me weinig concrete use-cases voorstellen waarbij je een dergelijke configuratie gebruikt.

Ik kan me voorstellen dat je bepaalde users alle root-rechten geeft. Dit is de meestgebruikte sistuatie.
Ik kan me voorstellen dat je bepaalde users bepaalde commando's als root wil laten uitvoeren. Dit zie ik ook veel.
Ik kan me voorstellen dat je bepaalde users bepaalde andere users wil laten worden. Nog niet gezien, maar goed, ik kan me voorstellen dat het handig kan zijn.

Maar waarom zou je bepaalde users naar ALLE andere users willen kunnen laten sudo-en, maar niet naar root? Zo'n user kan iedere andere user en iedere daemon pesten.

Wat zou een use-case zijn voor zo'n setup?
17-10-2019, 21:10 door Anoniem
Door Anoniem: Van Redhat ook nog niks gehoord.

Bug 1760531 (CVE-2019-14287) - CVE-2019-14287 sudo: Privilege escalation via 'Runas' specification with 'ALL' keyword
Reported: 2019-10-10 18:19 UTC by by Pedro Sampaio

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14287
21-10-2019, 22:25 door Stroopwafel
Door Anoniem:
Door Anoniem: Van Redhat ook nog niks gehoord.
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14287

Okay, ze zijn er mee bezig. Ik had nog geen mailtje gezien dat er een nieuwe rpm klaar staat. Of klopt dat ook niet?
24-10-2019, 12:33 door Stroopwafel
Ah daar is ie. Vandaag gepubliceerd:

https://access.redhat.com/errata/RHSA-2019:3197
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.