Een kritieke kwetsbaarheid in Sudo geeft lokale gebruikers de mogelijkheid om rootrechten te krijgen. Het beveiligingslek is al sinds juli 2011 in Sudo aanwezig. Er zijn beveiligingsupdates verschenen om het probleem te verhelpen, zo meldt securitybedrijf Qualys dat het beveiligingslek ontdekte.
Sudo maakt het mogelijk om programma's uit te voeren met de rechten van een andere gebruiker. In het geval van CVE-2021-3156, of "Baron Samedit", zoals de kwetsbaarheid wordt aangeduid, kan elke lokale gebruiker zonder authenticatie rootrechten krijgen. Het gaat dan ook om gebruikers die niet in het bestand /etc/sudoers voorkomen, waarin staat welke gebruikers toegang tot het sudo-commando hebben. Het probleem wordt veroorzaakt doordat Sudo backslashes in command-line argumenten niet goed escapet wat een heap-based buffer overflow kan veroorzaken, zo leggen de Sudo-ontwikkelaars uit.
Het beveiligingslek werd in juli 2011 in Sudo geïntroduceerd en raakt alle legacy versies van 1.8.2 tot en met 1.8.31p2 en alle stabiele versies van 1.9.0 tot en met 1.9.5p1 in de standaardconfiguratie. De ontwikkelaars van Sudo hebben versie 1.9.5p2 uitgebracht waarmee het probleem wordt verholpen.
De onderzoekers van Qualys hebben exploits ontwikkeld die tegen Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) en Fedora 33 (Sudo 1.9.2) werken, maar de onderzoekers merken op dat waarschijnlijk ook andere besturingssystemen en distributies kwetsbaar zijn. In deze video wordt de kwetsbaarheid gedemonstreerd.
Gebruikers die willen testen of hun systeem kwetsbaar is moeten als non-root user inloggen en het commando "sudoedit -s /" uitvoeren, aldus Qualys. Als het systeem kwetsbaar is verschijnt er een foutmelding die begint met "sudoedit:". Is het systeem gepatcht dan verschijnt een foutmelding die begint met "usage:".
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...
Juridische vraag: Helaas helaas houdt het bij mijn huidige werkgever op en moet ik eerdaags mijn laptop inleveren. Nu ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.