Debians sikkerhedsbulletin

DSA-946-2 sudo -- manglende kontrol af inddata

Rapporteret den:
20. jan 2006
Berørte pakker:
sudo
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 342948.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 16184.
I Mitres CVE-ordbog: CVE-2005-4158, CVE-2006-0151.
Yderligere oplysninger:

Den tidligere rettelse af sårbarheder i sudo-pakken fungerede fint, men var for restriktive i nogle miljøer. Derfor har vi gennemgået ændringerne igen og tilladt at nogle miljøvariable kommer tilbage i det priviligerede udførelsesmiljø. Derfor denne opdatering.

Opsætningsmuligheden "env_reset" er nu aktiveret som standard. Den vil kun bevare miljøvariablerne HOME, LOGNAME, PATH, SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE, LC_* og USER, foruden de separate SUDO_*-variabler.

For fuldstændighedens skyld er herunder den oprindelige bulletins tekst:

Man har opdaget at sudo, et priviligeret program der giver specifikke brugere begrænsede superbrugerrettigheder, overførte flere miljøvariable til det kørende program med forøgede rettigheder. Hvad angår include-stier (eksempelvis vedrørende Perl, Python, Ruby eller andre skriptsprog) kunne dette forårsage udførelse af vilkårlig kode som en priviligeret bruger, hvis angriberen pegede på en manipuleret version af et systembibliotek.

Denne opdatering ændrer sudos tidligere virkemåde og begrænser antallet af understøttede miljøvariable til LC_*, LANG, LANGUAGE og TERM. Yderligere variabler kan kun overføres når de er opsat som env_check i /etc/sudoers, hvilket nogle skripter kan kræve for fortsat at kunne fungere.

I den gamle stabile distribution (woody) er dette problem rettet i version 1.6.6-1.6.

I den stabile distribution (sarge) er dette problem rettet i version 1.6.8p7-1.4.

I den ustabile distribution (sid) vil den samme funktionalitet snart blive implementeret.

Vi anbefaler at du opgraderer din sudo-pakke. I unstable skal "Defaults = env_reset" tilføjes manuelt til /etc/sudoers.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.

MD5-kontrolsummer for de listede filer findes i den reviderede sikkerhedsbulletin.