Hallo zusammen,
gibt es hierfür schon einen Fahrplan bzgl. Patch?
https://www.heise.de/news/chwoot-Kritische-Linux-Luecke-macht-Nutzer-auf-den-meisten-Systemen-zu-Root-10466885.html
Mein checkMK meckert auch schon:
Pkg: sudo vulnerable
Danke!
Gruß
Ich würde annehmen, dass das mit 25.7 am 23.7.2025 gefixt wird.
Dürfte auch kaum dringend sein, denn: wozu ist denn ein SSH-fähiger nicht-Root User auf einer Firewall gut?
Dazu, dass man personalisierte Admin-Accounts hat?
Aber ja, die dürfen bei uns alle auch sudo root, deshalb bin ich da ganz entspannt.
Nehmen wir an, es gäbe einen User ohne diese Berechtigung, dann müsste dieser zum Ausnutzen der Lücke doch mindestens irgendwelche sudo-Rechte haben. Also selbst bei einem unprivilegierten RCE wäre das unkritisch.
Das meinte ich ja: Um OpnSense zu bedienen, müssen sowieso sudo-Rechte eingetragen sein (jedenfalls vor 25.7, wo m.W. die Rechte überarbeitet werden sollen). Ich habe auch Non-Root-Accounts für API-Zugriffe, aber die haben keinen SSH-Zugriff.
Das Problem bei der aktuellen sudo-Lücke betrifft eher Server-Systeme, auf denen echte Non-Root-User per SSH Zugriff haben. OpnSense ist i.d.S. eher eine Appliance. Und die personalisierten Admin-Accounts könnten dort theoretisch auch alle UID=0 haben - die Differenzierung mit unterschiedlichen UIDs ist eigentlich nur vonnöten, weil die meisten Tools mit mehreren Users mit der selben UID nicht klarkommen.