aankondigingen:2021:c2021d02-sudo-cve-2021-3156

C2021D02: Sudo update nav CVE-2021-3156

Aankondiging: Spoedonderhoud software

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

In sudo is een kwetsbaarheid gevonden waardoor het voor kwaadwillenden mogelijk is om root (superuser) te worden. In verband met het urgente karakter van deze kwetsbaarheid is er op de NPO Hosting systemen versneld een patch uitgerold waarmee het probleem opgelost is.

Normaal gesproken wordt sudo alleen door de beheerders gebruikt om beheertaken uit te voeren. Ondanks dat kan een kwaadwillende natuurlijk gewoon het sudo programma aanroepen. In een hosting context zou dat bijvoorbeeld via een stukje PHP op een website kunnen. De bug zorgt ervoor dat ook ongepriviligeerde gebruikers, zoals bijvoorbeeld een webserver toch root rechten kunnen krijgen, wat natuurlijk niet de bedoeling is.

Op woensdag 27 januari 2020 is de nieuwste versie van sudo geïnstalleerd, waarmee dit probleem verholpen is. In onze logs kunnen we zien dat er in de tussentijd geen pogingen ondernomen zijn om de kwetsbaarheid te misbruiken.

  • aankondigingen/2021/c2021d02-sudo-cve-2021-3156.txt
  • Last modified: 2024/03/07 17:08
  • by 127.0.0.1