Nieuws
image

Beveiligingslek in Sudo gepatcht

dinsdag 31 januari 2012, 14:20 door Redactie, 11 reacties

Er is een nieuwe versie van Sudo uitgekomen, het programma waarmee systeembeheerders aan bepaalde gebruikers of gebruikersgroepen rechten kunnen geven en al sinds 1980 bestaat. Een "format string" kwetsbaarheid zorgde ervoor dat een aanvaller Sudo kon laten crashen of dat een ongeautoriseerde gebruiker zijn rechten kon verhogen. Het zou dan om root-rechten gaan.

Het lek is aanwezig in Sudo versie 1.8.0 tot en met 1.8.3p1 en werd ontdekt door Joernchen van de Duitse hackergroep Phenoelit. Oudere versies zouden niet kwetsbaar zijn. Gebruikers krijgen het advies om naar versie 1.8.3p2 te upgraden.

Met dank aan SirDice voor de tip

Reacties (11)
31-01-2012, 14:31 door SirDice
Het is overigens niet noodzakelijk om in de sudoers te staan om dit lek te misbruiken.
31-01-2012, 15:32 door Anoniem
Er wordt al misbruik gemaakt van deze exploit...

http://d.asset.soup.io/asset/2892/3933_9c08.png
31-01-2012, 16:59 door Anoniem
Maar kijken of dat gebeuren zal binnen linux.
31-01-2012, 19:06 door Anoniem
Goed dat osx lion nog de oude versie 1.7.4 heeft, tijd om een oogje in het zeil te houden bij een update
01-02-2012, 09:52 door Anoniem
Door Anoniem: Er wordt al misbruik gemaakt van deze exploit...

http://d.asset.soup.io/asset/2892/3933_9c08.png

Woo nooit geweten dat je sudo dit kan laten doen. Top.
01-02-2012, 09:58 door Anoniem
Voor de goede orde: Het lek is in de versies 1.8.0-1.8.3p1 gevonden.
Deze versies van sudo werden bijvoorbeeld gebruikt door Debian wheezy (testing) en sid (unstable). Ook Ubuntu Precise Pangolin (12.04) gebruikt 1.8.3p1.
Het gaat bij het gevonden lek niet om versies voor de "gewone gebruiker/markt" maar om testversies.
01-02-2012, 14:25 door SirDice
Door Anoniem: Het gaat bij het gevonden lek niet om versies voor de "gewone gebruiker/markt" maar om testversies.
Correctie. Het gaat hier juist om 'gewone' (stable) versies. Tevens hoeft sudo niet met debugging aan gecompileerd te zijn.
02-02-2012, 11:40 door Anoniem
Door SirDice:
Door Anoniem: Het gaat bij het gevonden lek niet om versies voor de "gewone gebruiker/markt" maar om testversies.
Correctie. Het gaat hier juist om 'gewone' (stable) versies. Tevens hoeft sudo niet met debugging aan gecompileerd te zijn.

In Debian zitten deze dus niet in de stable release (squeeze, 6.0.4), want een 'sudo -V' geeft 1.7.4p4 aan.
02-02-2012, 14:09 door SirDice
In Debian zitten deze dus niet in de stable release (squeeze, 6.0.4), want een 'sudo -V' geeft 1.7.4p4 aan.
Daar gaat het ook niet om, het zijn de stable releases van sudo. Dat een distributie nog een oudere versie gebruikt heeft daar niet zo heel veel mee te maken.
02-02-2012, 15:50 door Anoniem
Door SirDice:
In Debian zitten deze dus niet in de stable release (squeeze, 6.0.4), want een 'sudo -V' geeft 1.7.4p4 aan.
Daar gaat het ook niet om, het zijn de stable releases van sudo. Dat een distributie nog een oudere versie gebruikt heeft daar niet zo heel veel mee te maken.

Nu praten we enigszins langs elkaar heen. OK, het zijn stable versies van sudo, maar op Debian zitten deze versies momenteel niet in de stable release. (Web)servers die Debian draaien, zullen stable gebruiken en bevatten dus het lek niet.

Overigens zit versie 1.8.3p2 al in testing en unstable: http://packages.debian.org/wheezy/sudo
03-02-2012, 11:00 door SirDice
Door Anoniem:
Door SirDice:
In Debian zitten deze dus niet in de stable release (squeeze, 6.0.4), want een 'sudo -V' geeft 1.7.4p4 aan.
Daar gaat het ook niet om, het zijn de stable releases van sudo. Dat een distributie nog een oudere versie gebruikt heeft daar niet zo heel veel mee te maken.

Nu praten we enigszins langs elkaar heen. OK, het zijn stable versies van sudo, maar op Debian zitten deze versies momenteel niet in de stable release. (Web)servers die Debian draaien, zullen stable gebruiken en bevatten dus het lek niet.
Ah, ja. De "gewone gebruiker/markt" sloeg op Debian, niet op sudo. Dat was me niet duidelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure