OPERATIVSYSTEMER OG PROGRAMVARE

Ti år gammel Sudo-sårbarhet gir vanlige brukere root-tilgang

Sikkerhetsoppdatering er klar. Bør installeres raskt.

Sudo-sårbarheten kan utnyttes på få sekunder.
Sudo-sårbarheten kan utnyttes på få sekunder. Bilde: Todd C. Miller (logoen). Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
27. jan. 2021 - 11:59

Sudo er et mye brukt verktøy i Unix-lignende operativsystemer som gir utvalgte brukere mulighet til å kjøre kommandoer med sikkerhetsprivilegiene til annen bruker, for eksempel en superbruker (root), uten å måtte være logget inn som denne brukeren. I stedet kreves det gjerne at brukeren taster inn sitt eget passord før kommandoen utføres.

Denne uken ble det kjent at det i juli 2011 ble introdusert en sårbarhet i sudo som gjør at enhver ikke-privilegert bruker på systemet kan oppnå root-privilegier. Dette skyldes en overflytsfeil i heap-minnet som kan utnyttes ved hjelp av et lite, kompilert program skrevet i C. Det er ikke nødvendig for den som kjører programmet å vite passordet til den innloggede brukeren.

Fikset på får dager

Sårbarheten skal ha blitt oppdaget for omtrent to uker siden av sikkerhetsselskapet Qualys. Selskapet tok den 13. januar kontakt med Todd C. Miller, som har vedlikeholdt sudo siden 1990-tallet. Seks dager senere var en sikkerhetsfiks klar. Den har blitt distribuert til en rekke Linux-distribusjoner, som i går kom med en oppdatering til sudo-pakken. Dette gjelder blant annet Ubuntu og Red Hats distribusjoner

Sårbarheten, som demonstreres i videoen nedenfor, har fått navnet Baron Samedi, som er en ånd («loa») i haitisk voodoo. I

Administratorer av Linux-systemer hvor andre, vanlige brukere har sudo-tilgang, bør snarest installere den nye sikkerhetsoppdateringen til sudo-programvaren.
Les også

Sentralt Linux-program kan gi uautorisert root-tilgang

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra