Todd Miller, Maintainer des Dienstprogrammes sudo, gab das Erscheinen der Version 1.6.3p6 bekannt, die als Reaktion auf das Bekanntwerden eines buffer overflow bug im Code herausgegeben wurde.

Betroffene Systeme

• sudo vor Version 1.6.3p6 auf den meisten UNIX-Plattformen (BSD-, SysV- oder POSIX-Systeme und deren Derivate)

Typ der Verwundbarkeit
buffer overflow bug

Beschreibung
Sudo ist ein populäres Werkzeug, das auf UNIX-Plattformen dazu eingestetzt wird, um Benutzern Privilegien auf eine sehr viel differenziertere Weise zu gewähren, als dies das UNIX-Rechtekonzept zuläßt. Die Philosophie besteht darin, daß soviele Privilegien wie nötig aber so wenig wie möglich erteilt werden können. Mittels sudo kann der Administrator Benutzern die Möglichkeit geben, Kommandos unter der UID root oder einer anderen UID auszuführen. Ein SETUID-Bit für das auszuführende Kommando ist dabei nicht nötig. Sudo loggt außerdem alle Aktivitäten, die ein Benutzer mit den durch das Programm gewährten Rechten durchführt.

Durch eine fehlerhafte Bearbeitung von Logmessages könnten sorgfältig formulierte Parameter, die sudo übergeben werden, dazu führen, daß beliebiger Code unberechtigt mit root-Rechten ausgeführt wird.

Gefahrenpotential
hoch
Offenbar existieren noch keine exploits für dieses Problem. Das Schwachstelle ist - wenn überhaupt - nur mit sehr guten Systemkenntnissen ausnutzbar, könnte aber zu einem local root exploit genutzt werden.

Gegenmaßnahmen
Eine gegen dieses Problem nicht mehr verwundbare Version ist verfügbar:

• sudo-1.6.3p6.tar.gz (FTP)

• sudo-1.6.3p6.patch (FTP)

Weitere Information zu diesem Thema

• sudo-Homepage
• sudo-Mailinglisten
• sudo-Download Area (WWW)
• sudo Mirrors (FTP)

Weitere Artikel zu diesem Thema:

• [Generic/sudo] Schwachstelle in alten sudo-Versionen kann ausgenutzt werden (2001-06-15)
  Mittlerweile ist es gelungen, für einen Ein-Byte-buffer overflow in sudo ein Programm zu konstruieren, welches die Schwachstelle ausnützt, um root-Privilegien zu erlangen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/