Debians sikkerhedsbulletin
DSA-596-2 sudo -- manglende kontrol af inddata
- Rapporteret den:
- 24. nov 2004
- Berørte pakker:
- sudo
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 281665.
I Mitres CVE-ordbog: CVE-2004-1051. - Yderligere oplysninger:
-
Liam Helmer har opdaget at sudo, et program der giver begrænsede superbrugerrettigheder til særlige brugere, renser ikke miljøvariable tilstrækkeligt. Bash-funktioner og CDPATH-variable føres stadig videre til programmet der kører under en priviligeret bruger, hvilket gør det muligt at overstyre systemrutiner. Disse sårbarheder kan kun udnyttes af brugere, der har fået tildelt midlertidige superbrugerrettigheder.
I den stabile distribution (woody) er disse problemer rettet i version 1.6.6-1.3.
I den ustabile distribution (sid) er disse problemer rettet i version 1.6.8p3.
Vi anbefaler at du opgraderer din sudo-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.
MD5-kontrolsummer for de listede filer findes i den reviderede sikkerhedsbulletin.