Alerta de Segurança Debian

DSA-596-2 sudo -- sanitização de entrada ausente

Data do Alerta:
24 Nov 2004
Pacotes Afetados:
sudo
Vulnerável:
Sim
Referência à base de dados de segurança:
No sistema de acompanhamento de bugs do Debian: Bug 281665.
No dicionário CVE do Mitre: CVE-2004-1051.
Informações adicionais:

Liam Helmer notou que sudo, um programa que fornece privlégios limitados de super usuário para usuários específicos, não limpa suficientemente o ambiente. Funções bash e a variável CDPATH ainda são passadas para o programa rodando como usuário privilegiado, deixando possibilidades de sobrescrever rotinas do sistema. Estas vulnerabilidades podem ser exploradas somente por usuários para os quais foram cedidos privilégios limitados de super usuário.

Para a distribuição estável (woody), estes problemas foram corrigidos na versão 1.6.6-1.3.

Para a distribuição instável (sid), estes problemas foram corrigidos na versão 1.6.8p3.

Nós recomendamos que você atualize seu pacote sudo.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.

Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.