Søg

Opdater nu: Alvorligt sikkerhedshul opdaget i populært Linux-værktøj

En alvorlig fejl i det populære Linux-hjælpeprogram Sudo giver selv brugere med begrænsede rettigheder adgang til at afvikle root-kommandoer. Øjeblikkelig opdatering anbefales.

15. oktober 2019 kl. 13.59
Artikel top billede
Niels Veileborg Niels Veileborg Debatredaktør

Det populære Linux-værktøj Sudo er ramt af en alvorlig sikkerhedsfejl.

Det skriver Computerworlds svenske søstermedie Techworld.

Sudo er et af de vigtigste og mest brugte sikkerhedsværktøjer i Linux, Unix og i terminalen på Mac OS X.

Sudo (Superuser Do) bruges til at afvikle en applikation eller en kommando som en anden bruger - oftest i root.

Derfor er det et af de sidste værktøjer, man har lyst til at have en fejl i, skriver The Hacker News.

Som udgangspunkt tillader de fleste såkaldte *nix-systemer alle brugere at afvikle root-kommandoer gennem Sudo.

Administratorer kan dog indføje begrænsninger i den såkaldte ‘/etc/sudoers/’-fil, sådan at bestemte brugere ikke kan afvikle specifikke kommandoer via Sudo. Men den specifikke fejl tillader brugere at omgå disse begrænsninger.

Fejlen, der er registreret CVE-2019-14287, blev fundet af Joe Vennix hos Apple Information Security.

Techworld skriver, at fejlen jo altså kun kan rammer de, som har indført begrænsninger for brugerne.

Sandsynligvis har lang de fleste ‘nix-systemer ingen Sudo-begrænsninger for brugerne.

Sikkerhedsfejlen findes i alle versioner af Sudo bortset fra den seneste version kaldet 1.8.28, som blev lanceret 14. oktober.

Den nye version vil blive rullet ud med forskellige opdateringer af Linux-distributionerne, men Sudo-pakken kan altså også opdateres med det samme manuelt.

Sådan optræder fejlen

Tecworld redegør i detaljer for, hvordan en bruger kan omgå begrænsningerne i ‘/etc/sudoers/’-filen:

“Alt, hvad en bruger skal gøre, er at køre en kommando med Sudo, men i stedet for sit sædvanlige bruger-id indtaste bruger-id’et som enten ‘-1’ eller ‘4294967295’.”

“Det vil altså sige ‘sudo -u # -1 -u’ eller ‘sudo -u # 4294967295 -u’.”

“Den funktion, der konverterer bruger-id til brugernavn fejltolker -1 eller 4294967295 som 0, hvilket altid er rootbruger-id. 4294967295 er det usignerede heltalækvivalent -1.”

“Tilmed er det sådan, at fordi root (alltså 0) ikke findes i adgangskode-databasen, så afvikles der ingen PAM-moduler (Pluggable Authentication Module). Det vill ellers have betydet yderligere kontroller. Sudo er designet sådan, at den bruger, som kører Sudo, kun skal angive sit eget password og ikke passwordet for den bruger, som man vil køre Sudo som”, skriver Techworld.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Mød 3.500+ it-talenter på IT-DAY 2026

    Annonceindlæg fra Computerworld it-jobbank

    Mød 3.500+ it-talenter på IT-DAY 2026

    Hos Computerworld it-jobbank er vi stolte af at fortsætte det gode partnerskab med folkene bag IT-DAY – efter vores mening Danmarks bedste karrieremesse for unge og erfarne it-kandidater.

    Netcompany A/S

    Test Consultant

    Midtjylland

    TV2

    Erfaren IT Service Management Specialist (ITIL) til TV 2

    Fyn

    Jyske Bank

    Senior Data Engineer til Data Warehouse

    Midtjylland

    Everllence

    BI Specialist

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Sourcing IT har pr. 2. februar 2026 ansat Susanne Sønderskov som Salgsdirektør. Hun skal især beskæftige sig med at styrke Sourcing IT’s kommercielle fundament, skalere salgsindsatsen og øge tilstedeværelsen bl.a. hos jyske kunder. Hun kommer fra en stilling som Salgsdirektør hos Right People Group ApS. Hun har tidligere beskæftiget sig med salgsledelse inden for IT-freelanceleverancer og komplekse kundeaftaler, både privat og offentligt. Nyt job

    Susanne Sønderskov

    Sourcing IT

    Idura har pr. 1. december 2025 ansat Anders Høiberg Michaelsen, 29 år, som software engineer. Han skal især beskæftige sig med kodning og integration med eID-udbydere som MitID og norsk BankID. Han kommer fra en stilling som programmør og systemudvikler hos Teal Nordic. Han er uddannet diplomingeniør i softwareteknologi fra DTU. Han har tidligere beskæftiget sig med bl.a. at lave open source projekter til at hjælpe andre udviklere med at samle information hurtigt. Nyt job

    Anders Høiberg Michaelsen

    Idura

    Circle Of Bytes ApS har pr. 1. maj 2025 ansat Jeanette Kristiansen som Account Manager. Hun skal især beskæftige sig med at opbygge og styrke relationer til kunder og samarbejdspartnere, samt sikre det rette match mellem kunder og konsulenter. Nyt job

    Jeanette Kristiansen

    Circle Of Bytes ApS

    Adeno K/S har pr. 2. februar 2026 ansat Casper Barner Kristensen som ServiceNow Expert. Han kommer fra en stilling som Senior Automation Architect. Nyt job

    Casper Barner Kristensen

    Adeno K/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Forsvaret nødt til at hasteindkøbe software-licenser for 89 millioner kroner: Kun et selskab kan levere
    2 Efter 15 år opdaterer Microsoft vigtig sikkerhedsfunktion på millioner af Windows-computere: Det kommer det til at betyde
    3 Microsoft er klar med ny Windows 11 – men du får næppe glæde af den
    4 Microsoft satser stort på egne AI-modeller – og kommer med ildevarslende nyt for alle med et kontorarbejde
    5 Fordobler pludselig sin markedsværdi: Er nu 380 milliarder dollar værd
    6 Nørgaard: Jeg introducerer nu officielt Den Gifte Mands AI-hack, der også gerne må bruges af gifte kvinder
    7 Morgen-briefing: Tidligere topchef i TDC og Ørsted ny formand for Flatpay / Ferrari klar med første design af iPhone-designer Jony Ive / Nordmænd køber det fynske softwarefirma Autosource Group
    8 Omdiskuteret filformat får kraftig kritik: 'Microsoft bør grundlæggende redesigne sin kontorprogrammer'

    Se seneste uge