Focus op veiligheid
- June 11, 2020
- 0
Een kwetsbaarheid in sudo gaf in sommige configuraties rootrechten aan welke die expliciet niet mocht hebben. Tor Browser, Tails en OnionShare hebben nieuwe versies uit. En de beveiligingsrisico’s van het npm-ecosysteem zijn heel geconcentreerd. Deze en andere beveiligingsnieuwtjes lees je in Focus op veiligheid.
Koen Vervloesem
KWETSBAARHEID IN SUDO
Er is een kwetsbaarheid in sudo gevonden waardoor gebruikers met privileges om opdrachten als een willekeurige gebruiker behalve root uit te voeren, dat toch als root kunnen doen. Ze hoeven daarvoor alleen maar als gebruikers-id -1 of 4294967295 op te geven. Stel dat in /etc/sudoers de volgende configuratieregel staat:
bob myhost = (ALL, !root) / usr/bin/vi
Dan kan gebruiker bob met sudo dus vi als elke gebruiker uitvoeren behalve root. Althans, dat is de bedoeling.
