Søg

Opdater nu: Alvorligt sikkerhedshul opdaget i populært Linux-værktøj

En alvorlig fejl i det populære Linux-hjælpeprogram Sudo giver selv brugere med begrænsede rettigheder adgang til at afvikle root-kommandoer. Øjeblikkelig opdatering anbefales.

15. oktober 2019 kl. 13.59
Artikel top billede
Niels Veileborg Niels Veileborg Debatredaktør

Det populære Linux-værktøj Sudo er ramt af en alvorlig sikkerhedsfejl.

Det skriver Computerworlds svenske søstermedie Techworld.

Sudo er et af de vigtigste og mest brugte sikkerhedsværktøjer i Linux, Unix og i terminalen på Mac OS X.

Sudo (Superuser Do) bruges til at afvikle en applikation eller en kommando som en anden bruger - oftest i root.

Derfor er det et af de sidste værktøjer, man har lyst til at have en fejl i, skriver The Hacker News.

Som udgangspunkt tillader de fleste såkaldte *nix-systemer alle brugere at afvikle root-kommandoer gennem Sudo.

Administratorer kan dog indføje begrænsninger i den såkaldte ‘/etc/sudoers/’-fil, sådan at bestemte brugere ikke kan afvikle specifikke kommandoer via Sudo. Men den specifikke fejl tillader brugere at omgå disse begrænsninger.

Fejlen, der er registreret CVE-2019-14287, blev fundet af Joe Vennix hos Apple Information Security.

Techworld skriver, at fejlen jo altså kun kan rammer de, som har indført begrænsninger for brugerne.

Sandsynligvis har lang de fleste ‘nix-systemer ingen Sudo-begrænsninger for brugerne.

Sikkerhedsfejlen findes i alle versioner af Sudo bortset fra den seneste version kaldet 1.8.28, som blev lanceret 14. oktober.

Den nye version vil blive rullet ud med forskellige opdateringer af Linux-distributionerne, men Sudo-pakken kan altså også opdateres med det samme manuelt.

Sådan optræder fejlen

Tecworld redegør i detaljer for, hvordan en bruger kan omgå begrænsningerne i ‘/etc/sudoers/’-filen:

“Alt, hvad en bruger skal gøre, er at køre en kommando med Sudo, men i stedet for sit sædvanlige bruger-id indtaste bruger-id’et som enten ‘-1’ eller ‘4294967295’.”

“Det vil altså sige ‘sudo -u # -1 -u’ eller ‘sudo -u # 4294967295 -u’.”

“Den funktion, der konverterer bruger-id til brugernavn fejltolker -1 eller 4294967295 som 0, hvilket altid er rootbruger-id. 4294967295 er det usignerede heltalækvivalent -1.”

“Tilmed er det sådan, at fordi root (alltså 0) ikke findes i adgangskode-databasen, så afvikles der ingen PAM-moduler (Pluggable Authentication Module). Det vill ellers have betydet yderligere kontroller. Sudo er designet sådan, at den bruger, som kører Sudo, kun skal angive sit eget password og ikke passwordet for den bruger, som man vil køre Sudo som”, skriver Techworld.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Cyber Security Festival 2026

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Netcompany A/S

    Data Management Consultant

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Netværksspecialist med indsigt i C2 systemer til opbygningen af Forsvarets anti-drone-program

    Københavnsområdet

    Ringkjøbing Landbobank – Nordjyske Bank

    Forretningsudvikler til procesoptimering

    Midtjylland

    KMD A/S

    Customer Supporter

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Immeo har pr. 1. maj 2026 ansat Peter Lorenz Nellemann som Senior Manager. Han kommer fra en stilling som Senior Strategy Manager hos Pentia. Han er uddannet i Software Engineering. Nyt job

    Peter Lorenz Nellemann

    Immeo

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Teleselskaberne kaldt til krisemøde - står pludselig over for kæmpe-regning efter møde med Justitsministeriet
    2 Så fede er pensionsordningerne i landets største it-virksomheder
    3 Ny digital kæmpe-organisation får 1.600 medarbejdere: Her er holdet, der skal stå i spidsen
    4 Metoderne bag Novo-hack har været helt elementære: "Noget, jeg lærer mine studerende," siger lektor
    5 Morgen-briefing: Ukontrolleret token-forbrug sendte regning på 500 millioner dollar / Estland giver kunstig intelligens et personnummer / Næsten 4.000 robottaxaer kaldt tilbage / Tænketank maler Europas AI-kollaps op
    6 Pc-priserne stiger for alvor: Her er de gode køb til 5.000 kroner
    7 Morgen-briefing: David Heinemeier spytter penge i danske krigsdroner / Pentagon affyrede 2.000 missiler med Musks Grok / Tesla kørte ind i hus og dræbte kvinde
    8 Vi kigger det forkerte sted hen, når vi skal vurdere vores pension: Her er det vigtigste element i din pensionsordning

    Se seneste uge