Eine Lücke in “sudo” sorgt in bestimmten Fälle dafür, dass einfache Nutzer Befehle ausführen dürfen, die eigentlich Root vorbehalten sind.
Gefunden hat die Lücke Joe Vennix, der für Apple Information Security arbeitet. Sie dürfte vor allem Linux-Systeme in Unternehmen und Organisationen betreffen, auf denen Admins den Zugriff auf bestimmte Tools über die “/etc/sudoers” einschränken. Die Entdecker der Lücke liefern dazu auch ein passendes Beispiel.
Der Eintrag “myhost bob = (ALL, !root) /usr/bin/vi” in der “/etc/sudoers” soll eigentlich dafür sorgen, dass Benutzer “bob” den Editor Vi nicht mit Rootrechten ausführen darf. Der Bug erlaubt es Bob jedoch, über “sudo -u#-1 vi” oder “sudo -u#4294967295 vi” den Befehl trotzdem auszuführen. Der Grund: Die Funktion, die User-IDs in Nutzernamen konvertiert, behandelt “-1” und “4294967295” als “0”, was der User-ID von Root entspricht. Voraussetzung dafür ist, dass in dem in die “/etc/sudoers” eingetragenen Befehl ein “ALL” auftaucht.
Repariert ist der Bug in sudo 1.8.28. Welche Version auf dem eigenen System zum Einsatz kommt, verrät der Befehl “sudo -V”. Ubuntu bietet aktuell ein Update auf die Version “1.8.21p2-3ubuntu1.1” an, die das Problem behebt. Auch die anderen Distributionen sollten inzwischen Patches zur Verfügung stellen. Geführt wird die Sicherheitslücke als CVE-2019-14287.
