2020-0220: sudo: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten

Historie:

Version 1 (2020-02-03 12:39)

Neues Advisory

Version 2 (2020-02-03 17:23)

Canonical stellt für Ubuntu 19.10, 18.04 LTS und 16.04 LTS Sicherheitsupdates für 'sudo' bereit, um die Schwachstelle zu beheben.

Version 3 (2020-02-05 17:26)

Canonical stellt nun auch für Ubuntu 12.04 ESM und 14.04 ESM Sicherheitsupdates für 'sudo' bereit.

Version 4 (2020-02-06 10:30)

Es wurde ein neuer Weg für einen Exploit für die Schwachstelle veröffentlicht. Damit ist die Schwachstelle anders als bisher berichtet auch in sudo 1.8.26 bis 1.8.30 ausnutzbar.

Version 5 (2020-02-14 11:39)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für 'sudo' bereit, um die Schwachstelle zu beheben.

Version 6 (2020-02-14 17:55)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für 'sudo' zur Behebung der Schwachstelle bereit. Die Updates stehen unter anderem für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux - Extended Update Support 8.1 jeweils für x86_64- und ARM 64-Architekturen zur Verfügung.

Version 7 (2020-02-18 18:51)

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP1 und Server 12 SP1 LTSS stehen Sicherheitsupdates für 'sudo' zur Behebung der Schwachstelle bereit.

Version 8 (2020-02-19 11:16)

Für Oracle Linux 7 und Red Hat Enterprise Linux 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'sudo' bereit.

Version 9 (2020-02-19 17:34)

Für die SUSE Linux Enterprise Produkte Module for Open Buildservice Development Tools und Module for Basesystem jeweils in Version 15 und 15 SP1, High Performance Computing 15 LTSS und 15 ESPOS, SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4 und 12 SP5, Server for SAP 12 SP2, 12 SP3 und 15, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4, 12 SP5 und 15 LTSS, Storage 5, Desktop 12 SP4 und SUSE Container-as-a-Service (CaaS) Platform 3.0 stehen Sicherheitsupdates für 'sudo' zur Behebung der Schwachstelle bereit.

Version 10 (2020-02-25 17:06)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'sudo' bereit.

Version 11 (2020-03-06 12:48)

Für Oracle Linux 6 und für Red Hat Enterprise Linux Server, Workstation und Desktop sowie Red Hat Enterprise Linux for Scientific Computing 6 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'sudo' bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein lokaler Angreifer mit üblichen Benutzerrechten kann eine Schwachstelle in 'sudo' ausnutzen, um die Rechte von 'root' zu erlangen.

Der Hersteller stellt die Version 1.8.31 zur Behebung der Schwachstelle zur Verfügung. Die Versionen 1.7.1 bis 1.8.25p1 der Software sind betroffen.

Für Debian 8 Jessie (LTS) sowie Debian 9 Stretch stehen mit den Versionen 1.8.10p3-1+deb8u7 bzw. 1.8.19p1-2.1+deb9u2 Backport-Sicherheitsupdates bereit.

Schwachstellen:

CVE-2019-18634

Schwachstelle in sudo ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.