Sicherheitsforscher von der Cybersecurityfirma Stratascale haben eine Sicherheitslücke im Kommandozeilentool sudo entdeckt. Diese entsteht durch die fehlerhafte Implementierung der chroot-Option von sudo. Damit ist es möglich dass ein Angreifer sudo dazu bringt, eine beliebige Shared Library zu laden, indem er eine /etc/nsswitch.conf-Datei unter dem vom Benutzer angegebenen Root-Verzeichnis erstellt. Allerdings ist dies nur mit lokalem Zugriff auf den Rechner möglich.
Abhilfe: Es sollte so schnell wie möglich ein Update von sudo durchgeführt werden - ab Version 1.9.17p1 ist der Fehler behoben. Welche Version von sudo man installiert hat kann man mit

sudo -V

kontrollieren.
In zukünftigen Versionen von sudo wird die chroot-Option voraussichtlich vollständig entfernt.

https://www.stratascale.com/vulnerability-alert-CVE-2025-32463-sudo-chroot
https://www.openwall.com/lists/oss-security/2025/06/30/3
https://www.golem.de/news/root-zugriff-fuer-alle-kritische-sudo-luecke-gefaehrdet-unzaehlige-linux-systeme-2507-197635.html

Schade, ist jetzt nichts in der "Nähe" dabei wo ich sagen würde dass es sich lohnt hinzufahren.

Ich staune immer wieder, wie schnell doch die Zeit vergeht. Schon wieder ist die Hälfte des Jahres erreicht. Sommerzeit - Ferienzeit, warum sollte man sich da nicht mal mit Gleichgesinnten treffen? Hier ein paar Termine für die nächste Zeit:

• 01.-05.07. Hacken Open Air (Gifhorn)
• 04.-06.07. Hackover (Hannover)
• 04.-06.07. FAT25 (Aalen)
• 05.07. Tübix (Tübingen)
• 15.-20.07. FediCamp (Gedelitz)
• 17.-20.07. VVoidCamp (Marchetsreut)
• 24.-27.07. SeeZeit (Mainflingen)
• 26.-27.07. Tübinger Tage der digitalen Freiheit (Tübingen)
• 16.-17.08. FrOSCon 20 (St. Augustin/Bonn)
• 21.-25.08. Hack'n'Sun (Bonn)
• 28.-31.08. Westwood Camp (Rotenhain)
• 03.-05.09. RIOT Summit (Dresden)
• 05.-07.09. InselChaos (Bergen/Rügen)
• 06.-11.09. KDE Akademy (Berlin)
• 08.-12.09. preCICE workshop 2025 (Hamburg)
• 09.-11.09. CH Open Workshop-Tage (Zürich)
• 10.-12.09. KiCon Europe (Bochum)
• 12.-14.09. MRMCD - MetaRheinMainChaosDays (Darmstadt)
• 17.-19.09. Open-Access-Tage 2025 (Konstanz)
• 19.-20.09. Kieler Open Source und Linux Tage (Kiel)
• 19.-21.09. Datenspuren (Dresden)
• 19.-21.09. Hacks on the Beach (Flensburg)
• 20.-21.09. Mega-Knowledgecamp (Saarbrücken)
• 23.09. Open Tech Day 25: Grafana Edition (Nürnberg)
• 25.09. Bits & Bäume NRW (Essen)
• 27.09. LinuxDay Vorarlberg (Dornbirn)
• 30.09.-01.10. All Systems Go! (Berlin)
• 17.-18.10. Open Transport Community Conference 2025 (Wien)
• 18.-19.10. Sonoj Convention (Köln)
• 23.-25.10. Distribits (Düsseldorf)
• 09.-11.11. DENOG17 (Essen)
• 10.-11.11. Open Science Days 2025 (Berlin)
• 13.11. InnerSource Summit (Berlin)
• 18.-20.11. Open Source Monitoring Conference (Nürnberg)
• 08.-11.12. IT-Tage 2025 (Frankfurt/M.)

für Details und weltweite Veranstaltungen bitte bitte auf http://www.openos.at/pages/news/events.php und https://foss.events/ nachsehen. Von dort stammen auch alle obigen Termine, eventuelle Fehler stammen von mir...

Hallo Daemon,

Zitat von: Daemon am 31. Mai 2025, 16:15:20Benutzt überhaupt jemand FreeBSD produktiv?

Du kannst Fragen stellen, ich habe nicht gezählt
Aber allein das deutsche BSD-Forum sieht für FreeBSD so schlecht nicht aus.
https://www.bsdforen.de/forums/#freebsd.1
Ich lehne mich mal ganz weit aus dem Fenster und sage, dass von allen BSD-Varianten FreeBSD am weitesten verbreitet ist.
Ansonsten zum "produktiv nutzen", nach dem Motto "trau keiner Statistik, die Du nicht selbst gefälscht hast"
https://6sense.com/tech/server-and-desktop-os/freebsd-market-share#:~:text=FreeBSD%20has%20market%20share%20of,and%2Ddesktop%2Dos%20market.
aber von solchen Zahlen halte ich nicht viel bis gar nichts.

viele Grüsse gosia

Benutzt überhaupt jemand FreeBSD produktiv?

Wer schon immer mal FreeBSD auf seinem Laptop probieren wollte und an nicht vorhandenen Treibern gescheitert ist, kann jetzt einen neuen Versuch starten. FreeBSD hat in der neuesten Version zahlreiche Aktualisierungen u.a. an den Grafiktreibern und dem WLAN-Adapter vorgenommen. So wurde z.B. die Unterstützung für die WLAN-Treiber rtw88 und rtw89 von Realtek freigegeben. Auch an der Reduzierung des Energieverbrauchs wurde fleissig gearbeitet, was für einen Laptop ja auch nicht unwichtig ist.
Weitere Neuigkeiten siehe in dem monatlichen "Update Report" von FreeBSD.

Hm, so richtig läuft das noch nicht mit der Sicherheit der elektronischen Patientenakte. Kaum ist eine Lücke geschlossen hackt der Chaos Computerclub den neuen Schutz.
CCC hackt auch den neuen Schutz der ePA

In der Kompressions-Bibliothek xz-utils wurde eine Sicherheitslücke entdeckt, die zumindest zu einem Absturz führen kann (Denial of Service), aber unter Umständen auch das Einschleusen von Schadcode ermöglicht.
Der single-threaded .xz Decoder (lzma_stream_decoder) ist nicht betroffen. Die Befehle

xz --decompress --threads=1

und

xzdec

verwenden den single-threaded Decoder, sind also nicht betroffen.
In den xz-Utils Version >= 5.8.1 wurde der Fehler schon behoben. Auch für die älteren Versionen 5.4 und 5.6 steht schon ein entsprechender Sicherheitspatch bereit. Ein möglich zeitnahes Update ist also angesagt.

https://www.heise.de/news/XZ-Utils-Schwachstelle-ermoeglicht-vermutlich-Codeschmuggel-10343043.html
https://www.livewatch.de/de/news/lesen/achtung-vor-sicherheitslucke-in-xz-utils-was-passiert-ist-und-warum-es-wichtig-ist

PS.
Ironischerweise war xz schon vor ca. einem Jahr von einer Sicherheitslücke betroffen.
https://systemdfree.de/index.php/topic,680.0.html

Hallo Daemon,
ich denke, das im Moment der richtige Entschluss.
Dabei ist ePA von der Idee her ein guter Ansatz. Ich toure gerade gezwungenermassen durch verschiedene Abteilungen von verschiedenen Krankenhäusern und fülle jedesmal die fast identischen Formulare mit den gleichen Fragen aus:
"Haben Sie Allergien, wenn ja, welche? welche Medikamente nehmen Sie ein (bitte alle auflisten)? Haben Sie Beschwerden an Herz/Lunge/Nieren, wenn ja, welche?" usw. usw.
Wenn man das zum fünften Mal ausgefüllt hat, wünscht man sich schon eine automatischere Lösung. Nur eben sollte sie auch Datensicher sein, aber irgendwie kriegen die das nicht hin...

viele Grüsse gosia

Ich habe Einspruch eingelegt und den Mist deaktiviert.