Debian-Sicherheitsankündigung

DSA-735-1 sudo -- Race-Condition bei der Überprüfung von Pfadnamen

Datum des Berichts:
01. Jul 2005
Betroffene Pakete:
sudo
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 315115.
In Mitres CVE-Verzeichnis: CVE-2005-1993.
Weitere Informationen:

Ein lokaler Benutzer, dem die Ausführung von Befehlen mittels sudo gestattet wurde, kann beliebige Befehle als privilegierter Benutzer ausführen, weil sudos Überprüfung der Pfadnamen einen Fehler enthält. Dieser Fehler betrifft lediglich Konfigurationen, die eingeschränkte Benutzerkonfigurationen vor einer ALL-Anweisung in der Konfigurationsdatei enthalten. Eine Zwischenlösung ist, alle ALL-Anweisungen an den Anfang der Datei sudoers zu stellen; siehe die Ankündigung unter http://www.sudo.ws/sudo/alerts/path_race.html für weitere Informationen.

Für die alte Debian Stable-Distribution (Woody) wurde dieses Problem in Version 1.6.6-1.3woody1 behoben.

Für die aktuelle Stable-Distribution (Sarge) wurde dieses Problem in Version 1.6.8p7-1.1sarge1 behoben.

Beachten Sie, dass diese Pakete für bestimmte Architekturen noch nicht fertig sind; diese werden veröffentlicht, sobald sie verfügbar sind.

Wir empfehlen Ihnen, Ihr sudo-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_alpha.deb
HP Precision:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_alpha.deb
HP Precision:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.