Slashdot

News for nerds, stuff that matters

Two Sudo Vulnerabilities Discovered and Patched

In April researchers responsibly disclosed two security flaws found in Sudo "that could enable local attackers to escalate their privileges to root on susceptible machines," reports The Hacker News. "The vulnerabilities have been addressed in Sudo version 1.9.17p1 released late last month."


Stratascale researcher Rich Mirch, who is credited with discovering and reporting the flaws, said CVE-2025-32462 has managed to slip through the cracks for over 12 years. It is rooted in the Sudo's "-h" (host) option that makes it possible to list a user's sudo privileges for a different host. The feature was enabled in September 2013. However, the identified bug made it possible to execute any command allowed by the remote host to be run on the local machine as well when running the Sudo command with the host option referencing an unrelated remote host. "This primarily affects sites that use a common sudoers file that is distributed to multiple machines," Sudo project maintainer Todd C. Miller said in an advisory. "Sites that use LDAP-based sudoers (including SSSD) are similarly impacted."

CVE-2025-32463, on the other hand, leverages Sudo's "-R" (chroot) option to run arbitrary commands as root, even if they are not listed in the sudoers file. It's also a critical-severity flaw. "The default Sudo configuration is vulnerable," Mirch said. "Although the vulnerability involves the Sudo chroot feature, it does not require any Sudo rules to be defined for the user. As a result, any local unprivileged user could potentially escalate privileges to root if a vulnerable version is installed...."

Miller said the chroot option will be removed completely from a future release of Sudo and that supporting a user-specified root directory is "error-prone."

Read more of this story at Slashdot.

MetaFilter

The past 24 hours of MetaFilter

The New Vertigo Years

Over a century ago, the world felt anxious and unsettled much like today. The years between 1900 and 1914 have been called the "vertigo years" by historian Philipp Blom. As this essay walks though, the transformative period had some surprising parallels to our own time. Today as the new vertigo years?

Sargasso

Hopeloos Genuanceerd

Closing Time | Street Spirit

Bij toeval stuitte ik op deze akoestische versie van Street Spirit in het Japanse televisieprogramma Bubble Gum van 30 jaar terug. Van het album The Bends (1995).

Wat is Thom Yorke toch eigenlijk een goede zanger ook.

Behance Featured Projects

The latest projects featured on the Behance

HOLACAMP | Camping made extraOUTdinary


thexiffy

Last.fm last recent tracks from thexiffy.

Rapoon - Rubicon

Rapoon

Feynman en/of Feiten – Eruit geproduceerd

Rusland probeerde afgelopen jaren de Oekraïense luchtafweer te overbelasten met vele goedkope en eenvoudige raketten en drones. Er is weinig precisie nodig, bij grotere steden is het toch raak. Er worden bijna uitsluitend civiele doelen geraakt, een geraakt militair doelwit berust op louter toeval. Iran deed sinds april hetzelfde met Israël en raakte daarbij onder andere een zevenjarig Bedoeïenen meisje.

Een raket of drone op een grote stad afsturen is enigszins uitdagend, honderden van zulke objecten tijdig waarnemen en kapotschieten is nog vele malen complexer. De zwaardere en snellere ballistische en kruisraketten kunnen alleen worden gestopt met schaarse raketten vanaf straaljagers of peperdure Patriot-raketten. De voorraden dalen hard, en westerse landen gaan hamsteren.

Een Patriot-raket kostte 4 tot 7 miljoen dollar. Dat is vergelijkbaar met de kosten van de Russische ballistische en kruisraketten. Probleem is dat je twee Patriot-raketten moet afvuren om 100% uit te schakelen. Helaas worden er dit jaar maar 650 gemaakt. Veel te weinig om te verdelen over onder andere Oekraïne, Israël, militaire basissen in Qatar en Amerikaanse marineschepen.

Een Shahed-drone kost tienduizenden om te maken, Iran liet Rusland twee ton per stuk betalen, daarvan had Rusland er tot februari 2025 al 14700 afgevuurd. Rusland vuurt ook dummy drones af, om Oekraïne door haar (buitenlandse) munitie heen te helpen. Rusland neemt niet meer de moeite militaire doelen te vinden, het is vele malen makkelijker om op het midden van een stad te vuren.

Door grote hoeveelheden verschillende wapens op Oekraïne en Israël af te vuren, wordt het ook lastig het overzicht te bewaren. Je wil niet een sidewinder of Patriot-raket offeren aan een goedkope, trage drone, die afweerraketten moet je bewaren voor een Russische Kinzhal, Kalibr of Iskander raket. Het heeft ook geen zin kosten te maken om een leeg grasveld, akker of woestijn te beschermen.

De Israëlische Iron Dome gebruikt raketten van € 50.000 tot een paar miljoen, afhankelijk van wat er op hen wordt afgevuurd. Een Hamas Qassam raket kost minder dan duizend dollar, een Hamas Grad een paar duizend. De interceptie wordt minimaal twintig keer zo duur als de aanval. Israël wordt hier gedwongen minimaal twintig keer zo veel uit te geven aan verdediging dan Hamas aan haar offensief.

De raketten van Hamas zijn door iedereen met twee rechterhanden te maken in een schuurtje of tunneltje. De raketten van de Iron Dome of Patriot-raketten hebben specialistische onderdelen nodig zoals radars, warmtezoekers, printplaten en processoren. De VS deed haar best om de productie op te schroeven en ging van 500 stuks in 2024 naar 650 in 2025. Een extra fabriek duurt jaren.

Nieuwsuur deelde deze week dat Rusland gecorrigeerd voor koopkracht meer besteedt aan defensie dan Europa. Een derde van de Russische begroting is geheim, ongeveer de helft van de Russische begroting bestaat uit defensie, corruptie en geheime diensten. Dit laatste zien we ook terug in hybride oorlogsvoering zoals sabotageacties tegen civiele infrastructuur van NAVO-leden.

Rusland heeft ook vier keer zo veel militaire productiecapaciteit als de NAVO. Ze gaan beter met hun geld om. Waar de NAVO vooral budget, beleid, een vergadercyclus en de laatste technologie heeft, is Rusland meer gericht op grote hoeveelheden eenvoudige en betrouwbare munitie, materieel en wapens. Onze westerse kwaliteit blijkt al jaren een incompleet antwoord op barbaarse kwantiteit.

We blijven vechten en verdedigen met een hand op de rug om aan onze eigen ethiek te voldoen. Landen zoals Rusland en Iran vuren voornamelijk op burgerdoelen of zetten daar terroristische organisaties zoals Hamas, Hezbollah of de Houtni`s voor in. Iran doet dat al 46 jaar lang in diverse proxy-oorlogen, maar wordt nog steeds niet algemeen als agressor erkend binnen ons ethisch model.

Het Russische gebruik van chemische wapens stijgt, dit dwingt haar tegenstanders zich in allerlei bochten te wringen en dure voorzorgsmaatregelen te nemen. De oorlog wordt voornamelijk in Oekraïne gevoerd, Poetin heeft de tijd en acht zich op eigen grondgebied bijna onaantastbaar. China wil dat Rusland de oorlog in Oekraïne wint. Het Chinese leger is zelf stevig aan het uitbouwen.

Poetin galmt over een reeks oude mondelinge uitspraken, zelfs eentje uit Deurne, hij vergeet het Boedapest Memorandum, waarin Rusland, de VS en het VK aan Oekraïne veiligheidsgaranties gaven in ruil voor de afgifte van kernwapens van de Sovjet-Unie. China en Frankrijk sloten zich hierbij later aan. Dit document bleek niets waard in 2014 (de Krim en Donbass) of in 2022 (rest Oekraïne).

Waar Poetin zijn keizerrijk wenst te herstellen met bloedige oorlogen, hebben diverse Oostbloklanden vrijwillig de Sovjet-Unie en haar Warschaupact verlaten, om na diverse verkiezingen toe te treden tot de NAVO. Vooral uit angst voor wat hun allemaal eerder vanuit Moskou en haar morbide variant op het communisme overkomen is. Zij zijn door schade en schande minder naïef.

Oorlogen worden verloren op ethiek, fabricage en logistiek


Rijnmond - Nieuws

Het laatste nieuws van vandaag over Rotterdam, Feyenoord, het verkeer en het weer in de regio Rijnmond

Winy Maas ontwerpt bijzondere gebouwen in onze regio: 'Veel architecten kijken te kortzichtig'

De immense spiegelgevel van het Depot Boijmans, de iconische boog met appartementen boven de Markthal en de indrukwekkende Boekenberg in Spijkenisse. Architect Winy Maas ontwerpt gebouwen die gezichtsbepalend zijn in de regio. "Ik wil een verhaal vertellen, iets toevoegen wat er nog niet was."

Calvin Stengs is weer helemaal fit en klaar voor het nieuwe seizoen

Met een eenvoudige 4-1 overwinning bij Cambuur is Feyenoord zaterdag begonnen aan de voorbereiding op het nieuwe seizoen. Bij de Rotterdammers stond Calvin Stengs aan de aftrap. Vorig seizoen kende de middenvelder veel blessureleed, maar nu is hij weer helemaal fit.

Drie auto's botsen bij oprit van de snelweg | Twee mannen onwel op tanker

In dit artikel houden we je op de hoogte van het belangrijkste en meest opvallende 112-nieuws uit onze regio van zaterdag 5 juli 2025.

Twee mannen onwel op tanker | Metroverkeer in Vlaardingen tijdelijk gestremd

In dit artikel houden we je op de hoogte van het belangrijkste en meest opvallende 112-nieuws uit onze regio van zaterdag 5 juli 2025.