27 Januar 2021

Schwerwiegende Sicherheitslücke in der Software 'sudo'

In der Software ’sudo‘, die auf fast jedem System installiert ist, um Nutzern begrenzte root-Nutzer-Privilegien zu gewähren, wurde eine schwerwiegende Sicherheitslücke entdeckt. Dieser Lücke (mit dem Namen ‚Baron Samedit‘) wurde die CVE-Nummer CVE-2021-3156 zugewiesen. Durch eine Änderung im Quellcode wurde dieser Fehler bereits 2011 in sudo eingebaut und betrifft damit auch ältere Betriebssystem-Versionen.

Details zur Sicherheitslücke

Dieser Heap-based buffer overflow erlaubt es selbst Nutzern, die nicht im sudoers-File stehen, unter bestimmten Bedingungen Administrator-Privilegien zu erlangen. Ausführlich beschrieben wird diese Lücke auf der OSS-Mailingliste.

Die Software-Entwickler von sudo haben am 26. Januar 2021 die Version 1.9.5p2 herausgegeben, die diesen Fehler behebt. Die meisten Software-Distributionen haben hierfür bereits Update-Pakete zur Verfügung gestellt.

Unterstützung

Wir empfehlen Ihnen, Ihre jeweiligen Betriebssysstem-Distributionen zu aktualisieren und entsprechende Updates einzuspielen, wenn Sie sudo auf Ihren Systemen installiert haben.

Wenn sie hierbei Unterstützung benötigen, steht Ihnen das Open Source Support Center der credativ GmbH gerne zur Verfügung. Kontaktieren sie uns noch heute.

Kategorien: Aktuelles
Tags: BSD Linux Sicherheit Sicherheitslücke sudo

über den Autor

Martin Zobel-Helas

Technischer Leiter Betrieb

zur Person

Als einer der technischen Leiter unterstützt Martin Zobel-Helas unsere Kunden bei der Konzeption und Integration von Open Source Software in komplexen IT-Infrastrukturen. Martin arbeitet schon seit 2005 bei credativ und übernimmt dort ebenfalls die Rolle des Open Source-Beauftragten. Gleichzeitig ist er ein sehr bekanntes und geschätztes Mitglied der internationalen Debian Community. Seine langjährige Mitarbeit als Entwickler und Sysadmin des Debian-Projektes zeichnen Ihn genauso aus, wie seine Tätigkeit im Vorstand der gemeinnützigen Open Source Organisation „Software in the Public Interest, Inc.“.

Beiträge ansehen


Beitrag teilen: