Navigation

    Logo
    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Unread
    • Categories
    • Unreplied
    • Popular
    • GitHub
    • Docu
    • Hilfe
    1. Home
    2. Deutsch
    3. Off Topic
    4. Pflege des Betriebssystems
    5. sudo sicherheitslücke und nachfolgende forschung

    NEWS

    • Neuer Blog: Fotos und Eindrücke aus Solingen

    • ioBroker@Smart Living Forum Solingen, 14.06. - Agenda added

    • ioBroker goes Matter ... Matter Adapter in Stable

    sudo sicherheitslücke und nachfolgende forschung

    This topic has been deleted. Only users with topic management privileges can see it.
    • MartinP
      MartinP last edited by

      Dies vorhin beim Nachhausekommen gelesen, und sofort angefangen die Updates der Linux-Systeme durchzuführen:

      https://www.golem.de/news/root-zugriff-fuer-alle-kritische-sudo-luecke-gefaehrdet-unzaehlige-linux-systeme-2507-197635.html

      Interessanterweise lag auf meinen TurnkeyLinux Fileserver im LXC Container schon die aktualisierte sudo-Version

      martin@fileserver ~$ tail /var/log/apt/history.log   
      
      Start-Date: 2025-07-01  07:08:14
      Commandline: /usr/bin/apt-get -o quiet=1 dist-upgrade -y -o APT::Get::Show-Upgraded=true -o Dir::Etc::sourcelist=/etc/apt/sources.list.d/security.sources.list -o Dir::Etc::sourceparts=nonexistent -o DPkg::Options::=--force-confdef -o DPkg::Options::=--force-confold
      Upgrade: sudo:amd64 (1.9.13p3-1+deb12u1, 1.9.13p3-1+deb12u2)
      End-Date: 2025-07-01  07:08:21
      martin@fileserver ~$
      

      Zu der Zeit habe ich DEFINITIV nicht an der Konsole gesessen und das Update angestoßen ...

      Dann gelesen, dass TurnkeyLinux anscheinend die Updates automatisch per cron Job ausführt ...

      martin@fileserver ~$ cat /etc/cron.d/cron-apt 
      # cron job for cron-apt package
      # randomized time to prevent clients from accessing repo at the same time
      40 6 * * * root test -x /usr/sbin/cron-apt && /usr/sbin/cron-apt
      

      Ich mache eigentlich ganz gerne solche Updates selber.
      Was ist von solchen Mechanismen zu halten?

      OliverIO Thomas Braun 2 Replies Last reply Reply Quote 0
      • OliverIO
        OliverIO @MartinP last edited by

        @martinp

        Für diejenigen die Debian einsetzen können, so wie ich es interpretiere beruhigt sein.

        Hier der folgende Text

        [bookworm] - sudo <not-affected> (Vulnerable code introduced later)
        [bullseye] - sudo <not-affected> (Vulnerable code introduced later)

        Von dieser Seite

        https://security-tracker.debian.org/tracker/CVE-2025-32463

        haselchen 1 Reply Last reply Reply Quote 2
        • haselchen
          haselchen Most Active @OliverIO last edited by

          @oliverio

          Korrekt.
          Einzig Trixie hat wohl ein Problem.

          bea5d3c2-9064-4b06-9aa1-a2cdb191caf2-grafik.png

          OliverIO 1 Reply Last reply Reply Quote 0
          • OliverIO
            OliverIO @haselchen last edited by

            @haselchen
            Gute Ergänzung.
            Trixie ist zwar noch testing und sollte noch nicht produktiv eingesetzt werden und wer da schon aktualisiert hat, weiß was er tut ?

            Thomas Braun 1 Reply Last reply Reply Quote 0
            • Thomas Braun
              Thomas Braun Most Active @OliverIO last edited by Thomas Braun

              Wie immer gilt halt der Grundsatz: Halt die Kiste immer auf dem aktuellen Stand. Regelmäßig. Und verwende stabile Releases und keine Klamotten, die das End Of Life überschritten haben.

              Mein Endeavour OS:

              [thomas@roamer ~]$ pacman -Ss sudo
              core/sudo 1.9.17.p1-1 [Installiert]
              

              Trixie ist noch Testing, das hängt natürlich hinterher, weil das momentan im Freeze ist. Wird ja auch nicht produktiv verwendet. Bullseye und Bookworm sind nicht betroffen, weil die Lücke erst in neueren Versionen vorhanden ist. Da ist der Debian-Ansatz, einmal releaste Versionen nicht zu erhöhen der Grund.

              Ich mache eigentlich ganz gerne solche Updates selber.
              Was ist von solchen Mechanismen zu halten?

              Wobei sich das mit der Verwendung von Turnkey halt beißt. Das ist ja gerade das 'Versprechen' davon. Musste nix wissen oder machen, wird alles vorgekaut. Dann in der Konsequenz auch Updates.

              Meister Mopper 1 Reply Last reply Reply Quote 0
              • Meister Mopper
                Meister Mopper @Thomas Braun last edited by Meister Mopper

                @thomas-braun sagte in sudo sicherheitslücke und nachfolgende forschung:

                Wie immer gilt halt der Grundsatz: Halt die Kiste immer auf dem aktuellen Stand.

                Und Debian ist ja auch aktuell bei v1.9.13p3 geblieben.

                Man ist gut beraten auf dem aktuellen Debian repository zu reiten.

                Thomas Braun 1 Reply Last reply Reply Quote 0
                • Thomas Braun
                  Thomas Braun Most Active @Meister Mopper last edited by Thomas Braun

                  @meister-mopper sagte in sudo sicherheitslücke und nachfolgende forschung:

                  Und Debian ist ja auch aktuell bei v1.9.13p3 geblieben.

                  Debian erhöht nie Versionen in einem (mal als stable veröffentlichten) Release. Da wird höchstens was gebackportet.

                  Meister Mopper 1 Reply Last reply Reply Quote 0
                  • Meister Mopper
                    Meister Mopper @Thomas Braun last edited by

                    @thomas-braun

                    Egal wie, sicher ist sicher!

                    1 Reply Last reply Reply Quote 0
                    • Thomas Braun
                      Thomas Braun Most Active @MartinP last edited by Thomas Braun

                      @martinp sagte in sudo sicherheitslücke und nachfolgende forschung:

                      Interessanterweise lag auf meinen TurnkeyLinux Fileserver im LXC Container schon die aktualisierte sudo-Version

                      Nee, da liegt die 1.9.13p3-1+deb12u2 vom 24 Jun 2025:

                      https://metadata.ftp-master.debian.org/changelogs//main/s/sudo/sudo_1.9.13p3-1+deb12u2_changelog

                      Die aber (s. oben) gar nicht betroffen ist.

                      MartinP 1 Reply Last reply Reply Quote 0
                      • MartinP
                        MartinP @Thomas Braun last edited by MartinP

                        @thomas-braun Gab wohl einen zweiten, weniger kritischen Issue.

                        https://www.heise.de/news/chwoot-Kritische-Linux-Luecke-macht-Nutzer-auf-den-meisten-Systemen-zu-Root-10466885.html

                        Mehr sudo-Ungemach

                        Auch an einer weiteren Stelle in sudo fand der Sicherheitsforscher Rich Mirch eine Sicherheitslücke: Sind Kommandos in der Konfigurationsdatei /etc/sudoers auf bestimmte Hosts eingeschränkt, lässt sich diese Beschränkung durch geschickte Kombination mehrerer Kommandozeilenparameter überlisten. Die Lücke mit der CVE-ID 2025-32462 ist jedoch auf einem frisch installierten System mit Standardeinstellungen nicht ausnutzbar. Sie ist daher nur mit einem CVSS-Punktwert von 2,8 und niedriger Priorität eingestuft. Die Lücke lauerte seit 12 Jahren in sudo und ist nun in Version 1.9.17p1 oder neuer behoben. Übrigens anders als ihr "großer Bruder" auch auf Debian GNU/Linux: Dort behebt sudo 1.9.13p3-1+deb12u2 den Fehler.

                        Thomas Braun 1 Reply Last reply Reply Quote 0
                        • Thomas Braun
                          Thomas Braun Most Active @MartinP last edited by

                          @martinp sagte in sudo sicherheitslücke und nachfolgende forschung:

                          Gab wohl einen zweiten, weniger kritischen Issue.

                          Ja, und der ist zurückportiert worden. Sieht man am Suffix +deb12u2 in der Versionierung. Debian ist da sehr transparent was da wann in welche Version eingewoben wurde.

                          MartinP 1 Reply Last reply Reply Quote 0
                          • MartinP
                            MartinP @Thomas Braun last edited by

                            @thomas-braun Wobei gerade Trixie wohl aktuell im Freeze ist, vor den Rollentausch, wenn sid "testing" wird, und trixie "stable".
                            Sollte nach den Erfahrungswerten eigentlich spätestens in ~6 Wochen passieren... bookworm wird dann oldstable, und bullseye ... tja....
                            Kein Fix für Trixie verfügbar ...

                            https://security-tracker.debian.org/tracker/CVE-2025-32463

                            auch der "kleine Issue

                            https://security-tracker.debian.org/tracker/CVE-2025-32462

                            Homoran 1 Reply Last reply Reply Quote 0
                            • Homoran
                              Homoran Global Moderator Administrators @MartinP last edited by

                              @martinp sagte in sudo sicherheitslücke und nachfolgende forschung:

                              Wobei gerade Trixie wohl aktuell im Freeze ist,

                              ach was!

                              @thomas-braun sagte in sudo sicherheitslücke und nachfolgende forschung:

                              Trixie ist noch Testing, das hängt natürlich hinterher, weil das momentan im Freeze ist.

                              MartinP 1 Reply Last reply Reply Quote 0
                              • MartinP
                                MartinP @Homoran last edited by

                                @homoran Mea Culpa - Zu heiß heute ...

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post

                                Support us

                                ioBroker
                                Community Adapters
                                Donate

                                780
                                Online

                                31.9k
                                Users

                                80.2k
                                Topics

                                1.3m
                                Posts

                                6
                                14
                                362
                                Loading More Posts
                                • Oldest to Newest
                                • Newest to Oldest
                                • Most Votes
                                Reply
                                • Reply as topic
                                Log in to reply
                                Community
                                Impressum | Datenschutz-Bestimmungen | Nutzungsbedingungen
                                The ioBroker Community 2014-2023
                                logo