Debian-Sicherheitsankündigung

DSA-946-2 sudo -- Fehlende Entschärfung der Eingabe

Datum des Berichts:
20. Jan 2006
Betroffene Pakete:
sudo
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 342948.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 16184.
In Mitres CVE-Verzeichnis: CVE-2005-4158, CVE-2006-0151.
Weitere Informationen:

Die vorherige Korrektur der Verwundbarkeiten im sudo-Paket funktionierte gut, war aber unter bestimmten Bedingungen zu streng. Daher haben wir die Änderungen nochmal einer Prüfung unterzogen und erlauben nun einigen Umgebungsvariablen, in die privilegierte Ausführungsumgebung aufgenommen zu werden. Deswegen diese Aktualisierung.

Die Konfigurationsoption env_reset ist nun standardmäßig aktiviert. Zusätzlich zu den separaten Variablen SUDO_* werden nur die Umgebungsvariablen HOME, LOGNAME, PATH, SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE, LC_* und USER erhalten.

Der Vollständigkeit halber finden Sie unten den Text des ursprünglichen Gutachtens:

Es wurde entdeckt, dass sudo, ein privilegiertes Programm, das bestimmten Benutzern begrenzte Administratorrechte bereitstellt, mehrere Umgebungsvariablen an das Programm weitergibt, welches mit erhöhten Rechten ausgeführt wird. Im Falle von include-Pfaden (z.B. für Perl, Python, Ruby und anderen Skriptsprachen) kann dies die Ausführung von beliebigem Code als privilegierter Benutzer zur Folge haben, wenn der Angreifer auf eine manipulierte Version einer Systembibliothek verweist.

Diese Aktualisierung verändert das frühere Verhalten von sudo und begrenzt die Anzahl an unterstützten Umgebungsvariablen auf LC_*, LANG, LANGUAGE und TERM. Zusätzliche Variablen werden nur dann weitergereicht, wenn sie als env_check in der Datei /etc/sudoers markiert sind. Dies kann für einige Skripte notwendig sein, damit diese weiterhin funktionieren.

Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 1.6.6-1.6 behoben.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.6.8p7-1.4 behoben.

Für die Unstable-Distribution (Sid) wird das selbe Verhalten bald implementiert werden.

Wir empfehlen Ihnen, Ihr sudo-Paket zu aktualisieren. Für Unstable muss die Zeile Defaults = env_reset zur Datei /etc/sudoers manuell hinzugefügt werden.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.