Bug in Linux sudo-commando geeft root-toegang weg

Een kwetsbaarheid in het sudo op Linux zorgt ervoor dat ook gebruikers zonder toestemming commando’s kunnen uitvoeren met root-privileges.

Het sudo-commando op Linux is kwetsbaar voor specifiek misbruik. De bug doet zich voor wanneer de Runas-specificatie begint met ALL. Zelfs wanneer de specificatie root-toegang voor een gebruiker expliciet verbiedt, is het mogelijk die restrictie te omzeilen. Het gaat concreet om configuraties waarbij een host commando’s mag uitvoeren als alle gebruikers, behalve root. In die gevallen doet de kwetsbaarheid zich voor.

Om ze uit te buiten moet de gebruiker het commando uitvoeren met user-id -1 of 4294967295. Beide triggeren een bug waarbij sudo ondanks beperkingen toch root-toegang toestaat. De kwetsbaarheid gaat door het leven als CVE-2019-14287. De pagina op de Common Vulnerabilities and Exposures-database is nog niet bijgewerkt, maar de sudo-groep heeft zelf een webpagina opgedragen aan het probleem.

Update

Intussen is er een update beschikbaar voor sudo waarbij het probleem wordt aangepakt. Versie 1.8.28 heeft de bug niet meer aan boord. De meeste grote distributies van Linux zullen de patch zelf uitrollen als onderdeel van een update. Het is echter ook een optie om sudo manueel te patchen. Het lek werd ontdekt door Apple Information Security. Linux wordt over het algemeen als veiliger gezien dan bijvoorbeeld Windows, maar is historisch gezien niet helemaal vrij van kwetsbaarheden. Bovendien wint het besturingssysteem aan populariteit, zeker in een infrastructuur-context. Snel updaten is dan ook de boodschap, al valt het probleem ook te mitigeren door de Runas-specificatie aan te passen.