Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root

[Mornsgrans]

Besonders auf Mehrbenutzersystemen muss hier schnell gehandelt werden:

chwoot: Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root

Ein Beispielexploit steht im Netz und funktioniert auf vielen Standardystemen. Admins sollten schnell die bereitstehenden Updates einspielen.

www.heise.de

 

[tuxpad]

Vielen Dank für den Hinweis. Der Mint-Updater stellt das Update schon bereit, finde ich super.

Viele Grüße
tuxpad

 

[elchmartin]

ich nehme an, dass das neue sudo-paket den fehler gefixt hat, wurde mir heute morgen angeboten.

 

[thom53281]

Patch ist oben bzw. auf ein paar Systemen hab ich sudo auch einfach nun deinstalliert, da ich es eher selten benutze (bzw. dort eigentlich gar nicht).

 

[hikaru]

Die aktuell stabile Debian-Version "Bookworm" ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.

Also nur ein Sturm im Wasserglas. Alle wieder hinlegen!

 

[thom53281]

Jein. Laut dem Artikel ist auch sudo in Debian von einer Lücke betroffen, wenn auch von einer deutlich harmloseren. Von daher bin ich glücklich drüber, dass ich gerade die aktuellste Version installiert habe.

 

[linrunner]

Der Mint-Updater stellt das Update schon bereit, finde ich super

Das liegt einfach daran, dass solche Lücken erst veröffentlicht werden, nachdem die relevanten Distris ihre Pakete fertig haben ...

EDITH sagt: hier liegt es auch mit daran, dass die allermeisten Mint Pakete direkt aus den Ubuntu Repos kommen.

 

[hoday]

Wen es interessiert, hier ist das noch mal etwas genauer erklärt:
https://www.stratascale.com/vulnerability-alert-CVE-2025-32463-sudo-chroot

 

[Christina]

Wen es interessiert, hier ist das noch mal etwas genauer erklärt:

Exploitation has been verified on:

• Ubuntu 24.04.1; Sudo 1.9.15p5, Sudo 1.9.16p2
• Fedora 41 Server; Sudo 1.9.15p5

openSUSE Leap 15.6 fehlt hier. Der Patch wurde aber am "Fr 27 Jun 2025 14:00:00 CEST" mit Version "1.9.15p5-150600.3.9.1" bereits erstellt.
Das openSUSE-Team pflegt bei Leap Patches normalerweise immer in bereits vorhandene Paketversionen ein, statt neue Versionen auszuliefern.

- Fix a possible local privilege escalation via the --host option
[bsc#1245274, CVE-2025-32462]
- Fix a possible local privilege Escalation via chroot option
[bsc#1245275, CVE-2025-32463]

 

[linrunner]

Das openSUSE-Team pflegt bei Leap Patches normalerweise immer in bereits vorhandene Paketversionen ein, statt neue Versionen auszuliefern.

Falls "bereits vorhandene Paketversion" bedeutet, dass die Version schon in einem offiziellen Repo gelandet ist, dann ist die Aussage unsinnig. Eine neue Paketversion ist zwingende Voraussetzung bei allen Paketmanagern, dass ein Update überhaupt erkannt werden kann.

Es gibt nur einen Softwarehersteller, dem ich so einen Blödsinn zutrauen würde ...

 

[Christina]

(..), dass die Version schon in einem offiziellen Repo gelandet ist,

Alle gepatchten Pakete finden sich im offiziellen Update-Repository. Diese werden gleichzeitig, d.h. parallel im Update-Repo auch als sog. Delta-RPM-Pakete angeboten, um den nötigen Download zu gering wie möglich zu halten.

Das Einbinden aller "repo-oss"- und den jeweils zugehörigen "repo-update"-Paketquellen wird schon automatisch bei der Erstinstallation erledigt.

 

[linrunner]

@Christina Mit dem Hinweis "Delta-RPMs" macht es Sinn. Danke.

Die Formulierung "Einpflegen in bereits vorhandene Paketversion" finde ich dennoch mißverständlich.

Ich verstehe, dass am Ende drei Ausprägungen des Pakets in den Repos (über alle Zweige) vorliegen:

1. Ungepatchte Paketversion
2. Gepatchte Paketversion
3. Delta Ungepatcht-Gepatcht

 

[Christina]

1. Ungepatchte Paketversion

Das sind alle Paketversionen, die im Golden Master (GM) zusammengefasst wurden: → download.opensuse.org/distribution/leap/15.6/

2. Gepatchte Paketversion

Diese finden sich nur in den diversen Update-Repos: → download.opensuse.org/update/leap/15.6/

3. Delta Ungepatcht-Gepatcht

Diese finden sich auch nur in den diversen Update-Repos.

Hier werden aber immer nur die Deltas zur zweitneuesten Paketversion bereitgehalten, d.h. die vorherigen werden gelöscht.
Wer also längere Zeit keine Updates installiert hat und daher z.B. nur die drittneueste Version auf dem Rechner hat, muss die (vollständige) gepatchte Paketversion herunterladen.

Der Otto Normalanwender braucht sich aber darüber gar keine Gedanken machen, weil die Softwareverwaltung zypper dies automatisch regelt.
Manche Desktop-Environments bringen dafür ihre eigene GUI mit oder benutzen Applets.
Man kann aber auch YaST (=die YaST-Plugins für zypper) verwenden oder einfach die Kommandozeile.

P.S.
Beispiel (Ausgabe gekürzt):

$ zypper search --details sudo
Repository-Daten werden geladen...
Installierte Pakete werden gelesen...

S  | Name                        | Type       | Version                           | Arch   | Repository
---+-----------------------------+------------+-----------------------------------+--------+-------------------------------------------------------------
i+ | sudo                        | Paket      | 1.9.15p5-150600.3.9.1             | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
v  | sudo                        | Paket      | 1.9.15p5-150600.3.6.2             | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
v  | sudo                        | Paket      | 1.9.15p5-150600.3.3.2             | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
v  | sudo                        | Paket      | 1.9.15p5-150600.1.2               | x86_64 | Haupt-Repository
i+ | sudo-plugin-python          | Paket      | 1.9.15p5-150600.3.9.1             | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
v  | sudo-plugin-python          | Paket      | 1.9.15p5-150600.3.6.2             | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
v  | sudo-plugin-python          | Paket      | 1.9.15p5-150600.3.3.2             | x86_64 | Update repository with updates from SUSE Linux Enterprise 15
v  | sudo-plugin-python          | Paket      | 1.9.15p5-150600.1.2               | x86_64 | Haupt-Repository
i  | yast2-sudo                  | Paket      | 4.6.1-150600.1.2                  | noarch | Haupt-Repository

Lg, Christina