chwoot: Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root !

pisel · July 1, 2025 at 9:11 PM

Die "gute" Nachricht:

Quote

Die aktuell stabile Debian-Version "Bookworm" ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.

Bot · Vor 5 Minuten

chwoot: Kritische Linux-Lücke macht Nutzer auf den meisten Systemen zu Root !? Schau mal ob du hier fündig wirst!

rpi444 · July 1, 2025 at 9:31 PM

Quote from pisel

Die "gute" Nachricht:

Quote

Die aktuell stabile Debian-Version "Bookworm" ist nicht betroffen – ihre sudo-Version ist schlicht zu alt.

ist das so? Denn:

Code

:~$ apt policy sudo
sudo:
  Installiert:           1.9.13p3-1+deb12u2
  Installationskandidat: 1.9.13p3-1+deb12u2
  Versionstabelle:
 *** 1.9.13p3-1+deb12u2 500
        500 http://security.debian.org/debian-security bookworm-security/main amd64 Packages
        100 /var/lib/dpkg/status

noisefloor · July 1, 2025 at 9:34 PM

Vielleicht bekommt systemd run0 dadurch ja Rückenwind. Soll von der Implementierung her sicherer sein als `sudo`.

Gruß, noisefloor

Bot · Vor einem Moment

Schau mal ob du hier fündig wirst:

pisel · July 1, 2025 at 9:46 PM

Quote from rpi444

ist das so?

Hm, stimmt:

Code

$ sudo --version
Sudo-Version 1.9.5p2

Mal sehen, ob es Hotfixes gibt.

**hyle** · July 1, 2025 at 10:27 PM

Hm. Bei meinem Bookworm am RPi5 mit Update vom letzten Freitag sieht es so aus:

Code

hyle@rpi5:~ $ sudo -V
Sudo-Version 1.9.13p3
Sudoers-Policy-Plugin Version 1.9.13p3
Sudoers-Datei-Grammatik-Version 50
Sudoers I/O plugin version 1.9.13p3
Sudoers audit plugin version 1.9.13p3
hyle@rpi5:~ $ apt policy sudo
sudo:
  Installiert:           1.9.13p3-1+deb12u1
  Installationskandidat: 1.9.13p3-1+deb12u2
  Versionstabelle:
     1.9.13p3-1+deb12u2 500
        500 http://deb.debian.org/debian-security bookworm-security/main arm64 Packages
 *** 1.9.13p3-1+deb12u1 500
        500 http://deb.debian.org/debian bookworm/main arm64 Packages
        100 /var/lib/dpkg/status

Display More

pisel · July 1, 2025 at 10:30 PM

Quote from hyle
Hm. Bei meinem Bookworm am RPi5 mit Update vom letzten Freitag sieht es so aus:
Code
hyle@rpi5:~ $ sudo -V
Sudo-Version 1.9.13p3
...

Demnach sind wir wohl alle betroffen

Bot · Vor einem Moment

Schau mal ob du hier fündig wirst:

**hyle** · July 1, 2025 at 10:39 PM

Interessant daran ist, dass der Server einen 500er liefert. Zumindest interpretiere ich das so.

Quote from hyle

500 http://deb.debian.org/debian-security bookworm-security/main arm64 Packages

Bernd666 · July 1, 2025 at 10:57 PM

Moin!

Wenn Heise und der Entdecker recht haben, dann betrifft es uns nicht.

Quote

da der schadhafte Code erst in dieser Version auftauchte. In den von ihm getesteten stabilen Versionen 1.9.14 bis 1.9.17 findet sich der Bug.

Wir haben 1.9.13.

Und der 2te Fehler. Siehe Zitat

Quote

Die Lücke lauerte seit 12 Jahren in sudo und ist nun in Version 1.9.17p1 oder neuer behoben. Übrigens anders als ihr "großer Bruder" auch auf Debian GNU/Linux: Dort behebt sudo 1.9.13p3-1+deb12u2 den Fehler.

Diese Version hat auf einen Debian12-System eben ein Upgrade gebracht.

Damit scheint alles im Grünen zusein.

73 de Bernd

rpi444 · July 1, 2025 at 10:58 PM

Quote from pisel
Quote from hyle
Hm. Bei meinem Bookworm am RPi5 mit Update vom letzten Freitag sieht es so aus:
Code
hyle@rpi5:~ $ sudo -V
Sudo-Version 1.9.13p3
...
Demnach sind wir wohl alle betroffen

Doch nicht, denn:

Quote

... auf Debian GNU/Linux: Dort behebt sudo 1.9.13p3-1+deb12u2 den Fehler.

Bot · Vor einem Moment

Schau mal ob du hier fündig wirst:

Franjo G · July 1, 2025 at 11:21 PM

Dann ist ja alles gut

Code

apt policy sudo
sudo:
  Installiert:           1.9.13p3-1+deb12u2
  Installationskandidat: 1.9.13p3-1+deb12u2
  Versionstabelle:
 *** 1.9.13p3-1+deb12u2 500
        500 http://deb.debian.org/debian-security bookworm-security/main arm64 Packages
        100 /var/lib/dpkg/status
     1.9.13p3-1+deb12u1 500
        500 http://deb.debian.org/debian bookworm/main arm64 Packages

DistroEx · July 2, 2025 at 9:33 PM

Ja, alles gut:

Code

moi@pie:~ $ zcat /usr/share/doc/sudo/changelog.Debian.gz | head -n 6
sudo (1.9.13p3-1+deb12u2) bookworm-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Local Privilege Escalation via host option (CVE-2025-32462)

 -- Salvatore Bonaccorso <carnil@debian.org>  Tue, 24 Jun 2025 09:29:50 +0200
moi@pie:~ $

framp · July 2, 2025 at 9:43 PM

Mal ne dumme Frage: Betreibt jemand von Euch eine Raspberry auf die mehr als nur Ihr und zuverlässige Personen Konsolenzugriff haben und auch noch C Programme schreiben können? Denn so wie ich verstehe ist nur dann chwoot ein Problem.

pisel Das ist kein Offense. Ich finde es gut dass Du darauf hingewiesen hast

Bot · Vor einem Moment

Schau mal ob du hier fündig wirst:

pisel · July 3, 2025 at 7:49 PM

Quote from framp

Mal ne dumme Frage: Betreibt jemand von Euch eine Raspberry auf die mehr als nur Ihr und zuverlässige Personen Konsolenzugriff haben und auch noch C Programme schreiben können? Denn so wie ich verstehe ist nur dann chwoot ein Problem.

Naja, auch hier kann man oft lesen, dass jemand unbedarft seinen RasPI im Internet erreichbar gemacht hat, weil er "keine geheime oder vor anderen schützenswerte Daten" darauf hat.
Es gibt immer wieder Schwachstellen in WordPress, php, usw., die eine Shell auf dem Rechner aufmachen.
Mit so einer sudo-Schwachstelle ist der Rechner dann schon übernommen und der Angreifer ist im Heimnetz.
Gibt es dann vielleicht noch Skripte mit Benutzer und Kennwort für Sicherungen oder public/private-Key-Pärchen für die bequeme Anmeldung auf anderen Rechnern, ist der nächste Rechner im Heimnetz auch schon übernommen.
Vielleicht ist dann da die Nextcloud mit den privaten Dateien drauf oder Homeassistant mit der Rollladen- oder Türsteuerung ...

Participate now!