NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = C2021D02: Sudo update nav CVE-2021-3156
~~
{{htmlmetatags>
metatag-keywords=(software sudo cve)
metatag-og:title=(Sudo update nav CVE-2021-3156)
metatag-og:description=(
	In sudo is een kwetsbaarheid gevonden waardoor het voor
	kwaadwillenden mogelijk is om root (superuser) te worden.
	In verband met het urgente karakter van deze kwetsbaarheid
	is er op de NPO Hosting systemen versneld een patch uitgerold
	waarmee het probleem opgelost is.
	)
}}
====== C2021D02: Sudo update nav CVE-2021-3156 ======
====== Aankondiging: Spoedonderhoud software ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

In [[https://www.sudo.ws/intro.html|sudo]] is een
[[https://www.sudo.ws/alerts/unescape_overflow.html|kwetsbaarheid]]
gevonden waardoor het voor
kwaadwillenden mogelijk is om root (superuser) te worden.
In verband met het urgente karakter van deze kwetsbaarheid
is er op de NPO Hosting systemen versneld een patch uitgerold
waarmee het probleem opgelost is.

Normaal gesproken wordt sudo alleen door de beheerders gebruikt om
beheertaken uit te voeren. Ondanks dat kan een kwaadwillende natuurlijk
gewoon het sudo programma aanroepen. In een hosting context zou dat
bijvoorbeeld via een stukje PHP op een website kunnen.  De bug zorgt
ervoor dat ook ongepriviligeerde gebruikers, zoals bijvoorbeeld een
webserver toch root rechten kunnen krijgen, wat natuurlijk niet de
bedoeling is.

Op woensdag 27 januari 2020 is de nieuwste versie van sudo
geïnstalleerd, waarmee dit probleem verholpen is.
In onze logs kunnen we zien dat er in de tussentijd geen pogingen ondernomen
zijn om de kwetsbaarheid te misbruiken.