Linux: Bug in sudo ermöglicht Rechteausweitung

[English]Das ist ja mal doof: Im Linux-Befehl sudo gibt es einen Implementierungsfehler. Dieser ermöglicht Befehle als root auszuführen, auch wenn das eigentlich unzulässig ist. Inzwischen liegt aber ein Update vor, das den Bug behebt.


Anzeige

Was ist sudo?

Der Name ist das Kürzel für su 'do' also super user mach mal. Der Befehl sudo kann anderen Kommandos vorangestellt werden, um diese mit den Berechtigungen des Benutzers root auszuführen. Man kann sich auch dauerhaft die Berechtigungen eines anderen Benutzers mit Schaltern zuweisen. Es ist in der Wirkung mit dem Run as unter Windows vergleichbar. Die Wikipedia hält noch einige Hinweise bereit.

Sudo-Schwachstelle CVE-2019-1428

Die Schwachstelle CVE-2019-1428 ist auf sudo.ws in diesem Artikel dokumentiert. Das Problem: Wenn sudo so konfiguriert ist, dass ein Benutzer Befehle als beliebiger Benutzer über das Schlüsselwort ALL in einer Runas-Spezifikation ausführen kann, ist es möglich, Befehle als root auszuführen, indem die Benutzer-ID -1 oder 4294967295 angegeben wird.

Normalerweise ist das eigentlich das Ziel von sudo. Aber es gibt Umgebungen, wo dieses für einzelne Benutzer über Restriktionen verboten wird. Ein solcher Benutzer mit ausreichenden Rechten kann sudo verwenden, um Befehle trotzdem als root auszuführen, selbst wenn die Runas-Spezifikation den Root-Zugriff explizit verbietet. Dazu muss das das Schlüsselwort ALL zuerst in der Runas-Spezifikation aufgeführt werden.

Log-Einträge für Befehle, die auf diese Weise ausgeführt werden, listen den Zielbenutzer als 4294967295 anstelle von root auf. Darüber hinaus werden für den Befehl keine PAM-Sitzungsmodule ausgeführt. Betroffen von diesem Bugs sind alle sudo-Versionen vor 1.8.28. In der sudo-Versionen 1.8.28 wurde der Bug behoben.


Anzeige

Joe Vennix von Apple Information Security hat den Fehler gefunden und analysiert. Ein Beitrag auf The Hacker News hält einige zusätzlich Erläuterungen bereit.


Anzeige

Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Linux: Bug in sudo ermöglicht Rechteausweitung

  1. cermin-drans sagt:

    Das ist dann also "mal doof"…
    bei win-bugs ähnlicher provenienz würde da aber ganz anders genölt werden. Um es mal zurückhaltend zu formulieren.

    • Günter Born sagt:

      Hallo, wo liegt dein Problem? Bei Sicherheitslücken, die gefixt werden, ist kaum jemand hier, der nölt. Das ist Pipifax.

      Was nervt: Wenn ein Patch zum Fixen der Schwachstellen kommt und Du den nicht installieren kannst, weil der dein System zerdeppert – war im Juli, im August, im September und jetzt im Oktober 2019 bei Microsoft und Windows der Fall. Wobei ich mir persönlich das Nölen als Zeitverschwendung inzwischen verkneife. Aber fast jedes Problem, was ja angeblich niemand hat und was nur hier im Blog thematisiert wurde, habe ich über meine Kanäle als MS Answers-Communitymoderator an die Software-Entwickler eskalieren lassen. Und in den meiden Fällen wurde dann das Problem im betreffenden Thread durch die Entwickler bestätigt.

      • CO2-Retter sagt:

        Hallo Herr Born,

        dieser Kommentar kommt vermutlich daher, dass der Tenor in diesem Blog einfach zu oft ist, dass Microsoft ja mal wieder dieses und jenes nicht hinbekommt und dass das ja alles ja so unfassbar schlimm, die halbe Menschheit davon betroffen und der Untergang sehr nahe ist! Mich persönlich hat zuletzt das Problem mit der Windows-Suche erwischt, ja…das war relativ verbreitet. Aber alle anderen Probleme: Interessieren nicht, das sind kaum zählbare Anwender – ich meine was sind 20, 30 oder 50 Anwender, die sich in einem Forum bzgl. eines Problems melden, zu Millionen von Geräten da draußen, die das Problem möglicherweise nicht haben? Möglicherweise ist das in dem Blog auch so gehäuft, weil recht viele Beiträge von Sicherheitslücken handeln…

        Jedem, der schon mal selbst Software geschrieben hat, muss klar sein, dass es niemals eine fehlerfreie Software geben kann! Das ist Fakt! Und ein System wie Windows (oder iOS, Android, etc.) ist dermaßen komplex, dass es in der Gänze von nahezu keinem durchschaut werden kann. Es wird bei jedem Update Fehlerkonstellationen geben! Da nervt dieses künstliche Aufregen dann doch etwas…

        Wie heißt es so schön: Kein Backup, kein Mitleid. Und wer jedes neue Update als Erstes einspielen muss und nachher direkt wie der liebe Herrgott persönlich herumzetert, ist doch selbst schuld! Zudem bin ich der Meinung, dass der Großteil der Probleme sowieso von den Benutzern selbst verursacht wird. Durch Unwissenheit oder einfach durch Unfähigkeit – jeder „optimiert" das von Microsoft ja in den unzähligen Punkten „verunstaltete Windows" nach seinem Gusto. Was ich selbst zugegebenermaßen auch mache, natürlich…aber auf der anderen Seite heule ich dann auch nicht direkt herum, wenn etwas nicht so klappt, wie von mir vorgesehen, sondern stelle ggf. erstmal in z. B. einer VM nach, ob das Problem denn auf einem „Standard-Windows" ebenfalls existiert, oder ob „das Problem" möglicherweise sogar doch ich selbst bin…

        Zusammenfassend gesagt: Mir geht dieses permanente MS-Bashing und Aufplustern nach dem Motto „MS hat es wieder verzapft" doch teilweise auf den Nerv. Da passt eine flapsige „das ist ja mal doof"-Mittelung zu Linux einfach zu gut ins Bild.

        Grüße,
        CO2-Retter

    • Blupp sagt:

      Da nölt keiner. Warum auch? Ein Update wurde am 15.10. verteilt und es hat keine negativen Nebenwirkungen ;-)

  2. Boris B. sagt:

    Hallo Günter,

    muss es nicht Rechteausweitung anstatt Rechteauswertung heißen?

    Gruß Boris

  3. Manuel sagt:

    Danke für den Hinweis – sorgt jedoch bei mir auch für Irritation…
    Ich erinnerte micht, dass ich gestern auf meinem Mint-19.2-System ein sudo-Update hatte – war laut Verlauf von 1.8.21p2-3ubuntu1 auf 1.8.21p2-3ubuntu1.1 – und damit ja noch deutlich unter 1.8.28.
    Außerdem bin ich dann gleich zum Mint-18.2-System der Family, die Updates häufig nicht bemerken, dort war auch sudo mit in der Warteschlange – allerdings m.W. 1.8.16 – im beistehenden Text stand aber auch etwas von CVE-2019-… (leider keinen Screenshot von gemacht).
    Bei beiden Systemen gibts es aktuell keine neuen Updates…

  4. Sven Fischer sagt:

    Da muss ich aber mal reingrätschen, sudo ist nicht *ausschließlich* auf den superuser (root) beschränkt.
    Wie man im verlinkten wikipedia Artikel lesen kann:
    "Prozesse mit den Rechten eines anderen Benutzers (z. B. des Superusers root) zu starten"

    In der entsprechende Datei /etc/sudors wird das von root entsprechend eingerichtet. Der ganze Quatsch kommt nur daher, das Ubuntu von Anfang an, diese Einstellung per Standard gesetzt hatte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.