Debians sikkerhedsbulletin

DSA-596-2 sudo -- manglende kontrol af inddata

Rapporteret den:
24. nov 2004
Berørte pakker:
sudo
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 281665.
I Mitres CVE-ordbog: CVE-2004-1051.
Yderligere oplysninger:

Liam Helmer har opdaget at sudo, et program der giver begrænsede superbrugerrettigheder til særlige brugere, renser ikke miljøvariable tilstrækkeligt. Bash-funktioner og CDPATH-variable føres stadig videre til programmet der kører under en priviligeret bruger, hvilket gør det muligt at overstyre systemrutiner. Disse sårbarheder kan kun udnyttes af brugere, der har fået tildelt midlertidige superbrugerrettigheder.

I den stabile distribution (woody) er disse problemer rettet i version 1.6.6-1.3.

I den ustabile distribution (sid) er disse problemer rettet i version 1.6.8p3.

Vi anbefaler at du opgraderer din sudo-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.

MD5-kontrolsummer for de listede filer findes i den reviderede sikkerhedsbulletin.