Lücke in sudo gewährte Angreifern unter bestimmten Voraussetzungen Root-Rechte
Updates für macOS und Linux schließen eine sudo-Lücke, deren Schweregrad als "hoch" gilt, die allerdings nur unter bestimmten Voraussetzungen ausnutzbar ist.
Der sudo-Befehl dient unter macOS und Linux dazu, Befehle mit den Rechten anderer Benutzer auszuführen. Typischerweise wird er verwendet, um kurzfristig, etwa zur systemweiten Verteilung von Updates, mit Root-Rechten zu arbeiten. Dazu ist normalerweise die Eingabe des eigenen Passworts sowie eine (in der sudo-Konfiguration festgelegte) Berechtigung erforderlich.
Allerdings sorgte ein Programmierfehler in sudo bis vor kurzem dafür, dass lokale Angreifer unter bestimmten Voraussetzungen einen Pufferüberlauf provozieren und in der Folge unberechtigt Befehle als Root ausführen konnten.
Updates für macOS sowie aktualisierte Pakete für mehrere Linux-Distributionen fixen die aus dem Bug resultierende Sicherheitslücke.
Angriffe nur bei aktiviertem pwfeedback möglich
Die Lücke mit der CVE-Nummer CVE-2019-18634 ist nur dann ausnutzbar, wenn in der sudo-Konfigurationsdatei etc/sudoers die Option pwfeedback aktiv ist. Laut dem Eintrag zu CVE-2019-18634 in der National Vulnerability Database (NVD) ist pwfeedback in der Upstream-Version von sudo und vielen davon abgeleiteten Linux-Paketen standardmäßig deaktiviert. Auf einige Linux-Distributionen (konkret werden Linux Mint and elementary OS genannt) treffe jedoch das Gegenteil zu.
pwfeedback dient dazu, dem Nutzer bei der Passworteingabe ein "visuelles Feedback" durch Darstellung eines "*" bei jeder Zeicheneingabe zu geben.
Obwohl das von der Sicherheitslücke ausgehende Risiko von pwfeedbacks (In-)Aktivität abhängt und daher stark variieren kann, wird es von den meisten Quellen als "hoch" eingestuft. Unter anderem hat das CERT-Bund einen Sicherheitshinweis zu CVE-2019-18634 veröffentlicht. Ein Eintrag bei Red Hat zu CVE-2019-18634 weist der Lücke einen CVSS-v3-Score von 7.3 zu ("High").
Updates und weitere Hinweise
Überprüfen lässt sich der Status von pwfeedback durch Eingabe des Befehls
sudo -l
Liefert dieser unter anderem pwfeedback als Eintrag zurück, ist die sudo-Konfiguration (versionsabhängig) angreifbar. Einen Workaround (in Gestalt einer Anpassung des pwfeedback-Eintrags in sudoers) sowie weitere Details zur Lücke beschreibt das sudo-Entwicklerteam in seinem Security Advisory zu CVE-2019-18634.
Grundsätzlich verwundbar sind laut sudo-Team die sudo-Versionen 1.7.1 bis einschließlich 1.8.25p1; in darauffolgenden Versionen sei der Bug zwar ebenfalls vorhanden, aber aufgrund einer anderen Codeänderung nicht mehr ausnutzbar gewesen. Die sudo-Version 1.8.31 ist abgesichert.
macOS-User sollten ein Update auf Catalina 10.15.3 durchführen oder das (in einem Supportdokument von Apple detailliert beschriebene) Sicherheitsupdate 2020-001 macOS High Sierra 10.13.6 beziehungsweise für macOS Mojave 10.14.6 einspielen.
Linux-Anwender sollten nach aktualisierten Paketen Ausschau halten. Für einige Distributionen gibt es bereits Updates und/oder weiterführende Informationen:
Update 04.02.20, 17:06: Kurze Erläuterung zu pwfeedback eingefügt. (ovw)