Hallo,

es wurde ein Bug in sudo gefunden, dem Kommando, um eine andere BenutzerID - inklusive root - anzunehmen.
Die Lücke hängt an einem Parameter. Leider ist genau der bei z.B. Linux Mint gesetzt. Die Lücke hat einen CVE score von 7,3 - HOCH. Also vergleichsweise schlimm.

Mehr Background hier: Arikel bei Heise

Also patchen ist angesagt. Laut heise ist sudo-Version 1.8.31 abgesichert.

Liebe Grüße,
Klarent

Hi KlaRen,

ja, danke - wurde doch auch Zeit wenn es darum geht:

16.10.2019 - Bug in sudo verleiht Root-Rechte
Im Linux-Tool sudo schlummerte über Jahre ein fataler Bug. Allerdings lässt sich das Problem nur in wenigen Installationen ausnutzen.
www.heise.de/security/meldung/Linux-Bug-in-sudo-verleiht-Root-Rechte-4557770.html


cu
GRAUWERT
.

Yep. Hatte mich auch schon gewurdert. Da war doch mal was.

Kam bei Debian/Devuan auch schon rein (bei so was sind die schnell):
dpkg -l|grep sudo sagt: 1.8.19p1-2.1+deb9u2 (Versionsnummer in Debianmanier lautet: PaketXuY)

Hallo Dr. Tux,
ja, genau das ist einer meiner persönlichen Kritikpunkte was Debian, Ubuntu und alle ihre Abkömmlinge angeht.
Die nach Medienberichten und laut der Entwickler sichere Version ist:
1.8.31
Debian liefert ein Update auf
1.8.19p1-2.1+deb9u2

ohne bei Debian in den Webseiten zu graben findet man nicht raus, ob da jetzt der Patch drin ist, oder nicht. Und ob der Patch für CVE XYZ jetzt berücksichtigt ist oder nicht gerät manchmal als Einzeiler im Freitext ohne Referenz zu einem CVE in die Release Notes. Dann guckt man nur dumm aus der Wäsche und hat das Prinzip Hoffning - es korreliert zeitlich, wird schon drin sein...
Oder man gräbt sich durch den Source Code. Aber das wird halt alles immer aufwändiger - Und sudo ist ja nicht das einzige Softwarepacket einer Distribution.

Bei den rolling release Distributionen fällt einfach die 1.8.31 als Update in den Rechner und man kann die Versionsnummern einfach vergleichen, ohne weitere Dokumentation bemühen zu müssen.
Gefixed und Fertig.

Liebe Grüße,
Klaren