Linux: kritische Lücke für sudo

[the other]

Moinsen,
nur kurz und zur Info:
https://www.golem.de/news/root-zugr...det-unzaehlige-linux-systeme-2507-197635.html
Es gibt wohl eine als kritisch bewertete Sicherheitslücke. Schaut euch den Artikel dazu gerne an, schaut ob ggf bereits ein update vorliegt...

 

[framp]

Dazu muss ein Nutzer logischen Zugang auf die Konsole haben und C Programmierkenntnisse haben. Das mag noch für den Betreiber eines Systems zutreffen. Aber i.d.R. weniger auf Familienangehörige und sonstige Vertraute. Auch glaube ich kaum dass sich diese auf der Commandline bewegen und sudo kennen. Somit nur wichtig wenn man nicht vertauenswürdige User auf sein System zugreifen lässt.

 

[Loxley]

Dazu muss ein Nutzer logischen Zugang auf die Konsole haben und C Programmierkenntnisse haben.

Oder es ist einer der vielen Hobbybastler die nach einer Anleitung vorgehen. Für Eingaben in die Konsole braucht man nicht unbedingt C Programmierkenntnisse. Eine SSH Verbindung langt um in die Konsole zu kommen und in der Anleitung steht gib ein: "sudo .... " und hoppla.
Danke für die Warnung @the other

 

[Loxley]

Das war jetzt auf Benutzer eines Raspberry pi gemünzt. Linux Rechner sind nicht sehr weit verbreitet, aber auch hier ist man schnell mal in der Konsole und kann Schaden anrichten.

 

[framp]

In Sudo version 1.9.14, a change was introduced to resolve paths via chroot() while the sudoers file was still being parsed. This introduced a loophole that lets an attacker create a fake /etc/nsswitch.conf file in the specified chroot path. If the system supports the latter, Sudo can be tricked into loading a malicious shared library, potentially granting root access. This vulnerability affects versions 1.9.14 through 1.9.17. Legacy versions are not impacted since they lack support for the chroot option.

Um eine shared library zu erstellen braucht es sicherlich ein wenig C Kenntnisse und noch mehr ...

 

[framp]

Linux Rechner sind nicht sehr weit verbreitet,

Woher beziehst Du dieses Wissen?

 

[Loxley]

Aus allgemein zugänglichen Statistiken:

 

[Loxley]

Quelle: https://de.statista.com/statistik/d...genutzten-betriebssysteme-weltweit-seit-2009/

 

[Fusion]

Der Unterschied steckt im Wörtchen "Desktop" Betriebssysteme.
In der Allgemeinheit "Linux Systeme" ist die Frage wie allgemein man es hält. Desktop, Server, Smartphones, IoT, Supercomputer ... etc.
Da ist der Anteil der Linux oder linux-basierten Systeme in der deutlichen Mehrheit.
Von der Minderheit am Desktop mit <5% bis zur totalen Dominanz von 100% bei Supercomputern.
85% aller Smartphones (Android), Server von 65% bis Cloud 90%, IoT 60% (Rest vermutlich Mikrocontroller oder ähnlicher).
Überall wäre potentiell sudo/ssh möglich.

Zugegeben, ob man die eher beschränkten Systeme wie Android da rauslassen will.... diskutabel.

Nur in der plakativen Einfachheit wie "Linux Rechner sind nicht sehr weit verbreitet" kann man es halt nicht unterschreiben.

So, genug Goldwaage für heute.

 

[Loxley]

Wenn schon Goldwaage dann auch beachten dass es einen Unterschied zwischen Linux und UNIX gibt.