Opdater nu: Alvorligt sikkerhedshul opdaget i populært Linux-værktøj

En alvorlig fejl i det populære Linux-hjælpeprogram Sudo giver selv brugere med begrænsede rettigheder adgang til at afvikle root-kommandoer. Øjeblikkelig opdatering anbefales.

Artikel top billede

Det populære Linux-værktøj Sudo er ramt af en alvorlig sikkerhedsfejl.

Det skriver Computerworlds svenske søstermedie Techworld.

Sudo er et af de vigtigste og mest brugte sikkerhedsværktøjer i Linux, Unix og i terminalen på Mac OS X.

Sudo (Superuser Do) bruges til at afvikle en applikation eller en kommando som en anden bruger - oftest i root.

Derfor er det et af de sidste værktøjer, man har lyst til at have en fejl i, skriver The Hacker News.

Som udgangspunkt tillader de fleste såkaldte *nix-systemer alle brugere at afvikle root-kommandoer gennem Sudo.

Administratorer kan dog indføje begrænsninger i den såkaldte ‘/etc/sudoers/’-fil, sådan at bestemte brugere ikke kan afvikle specifikke kommandoer via Sudo. Men den specifikke fejl tillader brugere at omgå disse begrænsninger.

Fejlen, der er registreret CVE-2019-14287, blev fundet af Joe Vennix hos Apple Information Security.

Techworld skriver, at fejlen jo altså kun kan rammer de, som har indført begrænsninger for brugerne.

Sandsynligvis har lang de fleste ‘nix-systemer ingen Sudo-begrænsninger for brugerne.

Sikkerhedsfejlen findes i alle versioner af Sudo bortset fra den seneste version kaldet 1.8.28, som blev lanceret 14. oktober.

Den nye version vil blive rullet ud med forskellige opdateringer af Linux-distributionerne, men Sudo-pakken kan altså også opdateres med det samme manuelt.

Sådan optræder fejlen

Tecworld redegør i detaljer for, hvordan en bruger kan omgå begrænsningerne i ‘/etc/sudoers/’-filen:

“Alt, hvad en bruger skal gøre, er at køre en kommando med Sudo, men i stedet for sit sædvanlige bruger-id indtaste bruger-id’et som enten ‘-1’ eller ‘4294967295’.”

“Det vil altså sige ‘sudo -u # -1 -u’ eller ‘sudo -u # 4294967295 -u’.”

“Den funktion, der konverterer bruger-id til brugernavn fejltolker -1 eller 4294967295 som 0, hvilket altid er rootbruger-id. 4294967295 er det usignerede heltalækvivalent -1.”

“Tilmed er det sådan, at fordi root (alltså 0) ikke findes i adgangskode-databasen, så afvikles der ingen PAM-moduler (Pluggable Authentication Module). Det vill ellers have betydet yderligere kontroller. Sudo er designet sådan, at den bruger, som kører Sudo, kun skal angive sit eget password og ikke passwordet for den bruger, som man vil køre Sudo som”, skriver Techworld.

Læses lige nu

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job