De test op de kwetsbaarheid is niet het commando
maar

sudoedit -s \\
sudoedit: \: editing files in a writable directory is not permitted

Ubuntu 20.04-1 nog geen patch dus.

Update Ubuntu 20.04 is er wel, was mijn eigen fout.

Ik heb gisteren een patch geinstalleerd op Ubuntu 20.04. De patch is gewoon beschikbaar, probeer `apt upgrade sudo`.

Jawel hoor: https://ubuntu.com/security/notices/USN-4705-1

kan ook om te kijken of je een sudo versie hebt die gevoelig is voor de kwetsbaarheid:

Met een gepatchte versie:

werkt ook, maar ietsje anders. Kwetsbare versie:

Gepatchte versie:

Het is erg handig als je de home en tmp partitie mount met optie noexec (https://www.cyberciti.biz/faq/linux-add-nodev-nosuid-noexec-options-to-temporary-storage-partitions/) Dan werkt de genoemde exploit niet.
Gelukkig zijn er patches beschikbaar en hoeven we geen maand te wachten.
Verder heb ik alleen waarom zo snel ge-released? :
2021-01-13: Advisory sent to Todd.Miller@sudo.

2021-01-19: Advisory and patches sent to distros@openwall.

2021-01-26: Coordinated Release Date (6:00 PM UTC).

Fedora 33 ook

net een update gedraaid maar ik krijg op linux Mint


En op CENTOS:


Nog niet erg geupdate in het wild dus.

centos7,8,stream zijn ge-update.
wel ff eerst yum clean all doen voor de zekerheid.

Heb je een link naar deze info of een quote? Voor zo ver ik weet is er nog geen exploit beschikbaar namelijk.

Deze kwetsbaarheid wordt meestal gekwalificeerd als "important" (https://linuxsecurity.com/advisories) en niet als kritiek.
Bij NCSC als medium: https://advisories.ncsc.nl/advisory?id=NCSC-2021-0080
Wel weer een mooi voorbeeld hoe snel dit in de open source omgeving gefixt en uitgerold wordt.

In mijn ervaring kan een locale gebruiker niet eens een 'sudo' commando uitvoeren. Ik moet altijd eerst met een admin account op mijn Mac inloggen om überhaupt 'sudo' te kunnen gebruiken.

Wat dat betreft zit je al onder een verkeerd account te werken als deze kwetsbaarheid je kan raken.

Update bleek ook klaar te staan voor 18.04 LTS maar ik had hem met de hand al gedaan.

LekkeRRR: sudo apt upgrade sudo
MAARRRR: sudo sudo -V
blijft onveranderd..... Sudo version 1.8.21p2

Probeer het eens met Laatst geïnstalleerde versie voor Ubuntu 18.04 zou 1.8.21p2-3ubuntu1.4 moeten zijn. En het klopt dat het versienummer van de software hetzelfde is gebleven, de patch is toegevoegd aan het al bestaande package voor sudo.

Vandaag kreeg ik een update binnen (bijwerkbeheer) in Linux 19.1 v.4.0.10 voor sudo
Het betrof v. 1.8.21p2-3ubuntu1.3 bijgewerkt naar 1.4

Oh.... en voor er weer een snuggeroo begint over: "we zitten al op versie 20.1 van Linux !!!" Dat boeit me geen zier. Ik werk ook nog steeds met Windows 8.1 die net als Linux 19 nog netjes wordt voorzien van security updates tot 01-10-2023. (Linux 19 eol: 31-03-2023)

Zie: https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt

Mount /dev/shm ook maar met noexe. Geen enkele exploit die hier tegen bestand is!

Je bedoelt dus, dat er eerst een fix gemaakt is en DAN het probleem pas bekend gemaakt wordt.

In het artikel staat, dat deze fout geïntroduceerd is in Juli 2011!
Hoezo snel opgelost? Dus dat iedereen de softwarecode kan bekijken, helpt dus ook geen zier, dus l*lpraat!

Bedankt! In dat artikel wordt echter niet gerept over de noexec bit op /home of /tmp. En er wordt wel gerefereerd aan exploits maar Qualys heeft die niet vrijgegeven. Dus zo lang er geen exploit beschikbaar is kun je niet met zekerheid zeggen dat je door je home en tmp partities noexec te mounten beschermd zou zijn tegen deze kwetsbaarheid.

Jazeker wel want die exploit moet ge-execute worden en dat lukt niet met deze optie. Probeer maar een willekeurig script of binary te runnen -> geen toegang.

Zie ook het NX bit van de CPU (https://en.wikipedia.org/wiki/NX_bit) om je tegen dit soort heap-based buffer overflows te beschermen.

Genoeg mogelijkheden om daar om heen te werken. Niet alles moet persé in die locaties staan.
Dat nx^bit is een antiek iets en op die wijze beperkt. De 360 mainframe had daarvoor een byte psr 4k segment. Doel geheugemsegmentatie.
Wegens complexiteit slecht doorgevoerd, wegens kosten vask uitgezet.

Weer iets dar er heel lang fout in zat (10 jaar!). Het zal nog zeer lang duren voordat alles vervangen is. Veel systemen worden niet bijgewerkt.

Unpacking sudo (1.8.27-1+deb10u3) over (1.8.27-1+deb10u2)

Ach ach, het orakel weet weer hoe de toekomst eruit ziet.
Ik zit in de Unix/Linux wereld en heb contact met veel mensen uit de detachering en ze zijn nagenoeg allemaal bezig met patchen of in ieder geval een invetarisatie te maken en bij een eerste gelegenheid te patchen.

Wat bedoel je met Linux 19.1 en 20.1??

Kan niet de kernel zijn, want die zit op 5.nogwat.

Nee hoor er zijn geen andere plekken waar gebruikers kunnen schrijven. Daar kan je niet om heen werken.
10 jaar lang niet ontdekt hoeft geen enkel probleem te zijn. Als het wel een probleem was hadden we het al lang ondervonden. Elke software bevat bugs. Wat belangrijk is is als het wordt ontdekt dat het snel wordt opgelost en dat is gebeurd.

Je kan sudo er ook afhalen en gewoon su - root doen. Het is maar 1 pakketje.

Het is mogelijk om vanaf een noexec mount met een unpriviliged user executables uit te voeren, zie bijvoorbeeld https://github.com/neonsea/fileless-elf-exec.

Je hebt het kennelijk over versies van Ubuntu. Linux (de kernel) zit nu op versie 5.10.11. Debian zit op versie 10.7. Mint zit net als Ubuntu op 20.1. Red Hat Enterprise Linux zit op versie 8.1. Arch Linux zit op versie 2021.01.01. En zo kan ik nog wel even doorgaan.

Het versienummer van de distro die je gebruikt is niet het versienummer van Linux. Noem het dan ook niet zo, het is niet voor iedereen vanzelfsprekend wat je bedoelt. Als je Ubuntu 20.1 gebruikt, noem het dan niet Linux 20.1 maar Ubuntu 20.1. Dank je.

Sudo is veel meer dan alleeen maar de mogelijkheid om root te worden.

Niets dank je.
Het is gewoon onzin en pure muggenzifterij. En houd mij te goede: ik gebruik die term niet graag maar nu wel: ONZIN!

Bovendien heb ik een mateloze hekel aan dat oeverloze puber fanboygezwets Ubuntu<->Linux, van hetzelfde laken een pak als tussen Microsoft<->Apple adepten of voor mijn part Opel<->BMW

Dus:

Ga je nu tegenspreken wat de applicatie: Systeeminformatie bij mij weergeeft?
Ga je nu tegenspreken dat ik zelf niet weet dat ik Linux 19.1 gebruik, zoals letterlijk weergegeven: Linux Mint 19.1 Cinnamon met een vastgezette kernel 4.15.0-112-generic (mijn zaak, niet die van jou) en versie van cinnamon 4.0.10.

Kortom, doe toch niet zo hoogdravend eigenwijs, want je reactie is niet slechts totaal overbodig maar ook zoals ik al zei ONZIN; heeft totaal geen bestaansgrond.

Einde discussie.

Grappig dat je jezelf tegenspreekt.
Immers Linux Mint 19.1 =! Linux 19.1. Dat je de kernel vastzet op 4.15 moet je zelf weten, maar dan zit je niet op een LTS kernel. Deze kernel was gesuppord van Januari 2018 t/m April 2018. Als je op 4.* wil blijven draaien zou ik toch kijken of ik kan upgraden naar 4.19. Die blijft gesuppord tot December 2024. Maar ja, moet je lekker zelf weten.

Kijk voor een overzicht bijvoorbeeld op:
https://en.wikipedia.org/wiki/Linux_kernel_version_history

OS flame wars zijn inderdaad nergens voor nodig.
Maar aan Karma4: kruip weer lekker terug onder je steen met je OS waar 16 jaar lang een kwetsbaarheid in zat (Wannacry).

Anoniem heeft gelijk. Linux 19.1 is onzin. Je laat dan zien dat je niet begrijpt dat Linux alleen een kernel is.

Ik kan het op een aantal servers missen als kiespijn. Sudo is execute a command as another user. Dat kan met su - ook

De Debian minimal install heeft het pakket sudo er niet eens op staan. Je kan inderdaad prima zonder.
Toch is het ook wel handig als je sudo gebruikt. In een grote omgeving met meerdere beheerders bijvoorbeeld. De beheerders aan groep “sudo” toevoegen, andere gebruikers niet. Elke beheerder kan zijn/haar eigen “sudo” ww bedenken en het “root” ww hoeft niet met iedereen gedeelt te worden. Ook kun je makkelijker zien welke beheerder welk commando heeft uitgevoerd. Immers, hij heeft ge-sudo-ed (als dat een woord is). Als iedereen “root” zou gebruiken kun je dus niet achterhalen welke beheerder het commando heeft uitgevoerd. Immers, het is door “root” gedaan. Maar dat ww hadden alle 20 beheerders... En, wie heeft server geformatteerd?

Kennelijk vat je het op als ruzie.

Nee, het is geen onzin. Als jij "Linux 19.1" schrijft kan niemand die het leest zien wat je daar precies mee bedoelt. En kennelijk vond je het wel nodig om precies aan te geven welke versie het betrof. Waarom? Om duidelijk te maken wat je precies gebruikt, toch? Zodat anderen die hetzelfde gebruiken er wellicht wat aan hebben? Als dat soort dingen de bedoeling is dan kan je iets aan mijn opmerking hebben. Je geeft er alleen geen blijk van dat je accepteert dat je wijzer kan worden van zo'n opmerking.

Het grote verschil tussen Ubuntu<->Linux en de andere voorbeelden is dat het bij Ubuntu en Linux helemaal geen voorkeur voor twee merken is maar dat Ubuntu een Linux-distributie is. Ik spreek helemaal geen voorkeur voor een distributie of besturingssysteem uit maar wijs erop dat je een versienummer van een distributie noemt zonder te vermelden over welke distributie je het eigenlijk hebt. Dat is zoiets als zeggen dat je OS-versie 10 gebruikt zonder te vermelden of je Windows 10 of Debian 10 bedoelt. Of als zeggen dat iets 5 kost zonder te vermelden of die je het over 5 euro's, dollars, ponden of nog wat anders hebt. Je slaat iets essentieels over. Daar probeer ik je op te wijzen.

Als die systeeminformatie letterlijk weergeeft dat je "Linux Mint 19.1 Cinnamon" gebruikt dan staat daar niet dat je "Linux 19.1" gebruikt, dan staat daar dat je "Linux Mint 19.1 Cinnamon" gebruikt. Het versienummer slaat niet op Linux in het algemeen maar op Linux Mint. Daarom staat Mint ertussen.

Ik moet zeggen dat ik jou nogal hoogdravend eigenwijs vind overkomen.

Ik vraag me af of je wel weet wat een Linux-distributie (of "distro") eigenlijk is. Het is een collectie van software, met de Linux-kernel als basis, die door een organisatie (commercieel of niet-commercieel) bijeen is gebracht, op elkaar af is gestemd tot een werkend geheel en als besturingssystem wordt gedistribueerd. Vaak zijn die distributies van andere distributies afgeleid. Hier is een stamboom ervan:

https://upload.wikimedia.org/wikipedia/commons/1/1b/Linux_Distribution_Timeline.svg

Kijk er eens goed naar en zie eens of je Mint erin terug kan vinden in de honderden distributies die daar zijn weergegeven. En al die distributies hanteren hun eigen versienummering. Daarom is "Linux 19.1" niet voldoende om aan te geven wat je bedoelt. Als het je bedoeling was om duidelijk te maken wat je gebruikt, en daar heeft het alle schijn van, dan sla je zo essentiële informatie over. Dat is geen onzin en geen muggenzifterij.

Dus jij geeft liever je root wachtwoord af aan een gebruiker dan hem sudo rechten te geven om b.v. apt te kunnen draaien om zijn OS te updaten?

Kennelijk zit jij niet in een multi user omgeving.

Beperkt scope op zichtbare machientjes.
Nu nog even all routers deurbellen embedded systemen en niet te vergeten die machines die moeten blijven werken maar waar niemand meer durft aan te komen omdat ze niet weten hoe het bij een fout te herstellen.

Je weet niet wat voor misbruik er intussen heeft plaatsgevonden. Nu is 10 jaar fout nu bepaald niet snel opgelost.

dat klopt. Dank.

pavroyal @ HOEST :~$ sudo apt show -a sudo
[sudo] password for pavroyal:
Package: sudo
Version: 1.8.21p2-3ubuntu1.4
Priority: important
Section: admin
Origin: Ubuntu

De Backward \ Forward / slash test had al bewezen dat...

Na alle waarschijnlijkheid 0 omdat er bijna geen "gewone" mensen toegang hebben tot zo'n shell omgeving. Diegene die dat wel hebben hebben toch al sudo rechten. Linux servers zijn geen windows servers met vage user profiles. Gebruikers gebruiken een aangeboden service en geen desktop met een shell. Thuisgebruikers wel maar daar is het weer geen enkel probleem.
De praktijk toont ook geen incidenten aan.
Deurbellen en routers hebben geen ssh gebruikers, wel een webinterface! sudo upgraden duur 2 sec zonder reboot (yum update sudo) Het is 1 pakket. Dat durven zelfs mensen bij vage machines die jij noemt.

Linux Mint 19.3 heeft de patch. Blijkbaar hier gefixt. :)