Aviso de seguridad de Debian

DSA-946-2 sudo -- olvido de sanear la entrada

Fecha del informe:
20 de ene de 2006
Paquetes afectados:
sudo
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 342948.
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 16184.
En el diccionario CVE de Mitre: CVE-2005-4158, CVE-2006-0151.
Información adicional:

La corrección anterior a las vulnerabilidades del paquete sudo funcionaban bien, pero eran demasiado estrictas para algunos entornos. Por tanto, hemos vuelto a revisar los cambios y hemos permitido que algunas variables de entorno vuelvan al entorno de ejecución privilegiado. Esta es, por tanto, la actualización.

La opción de configuración "env_reset" se activa ahora de forma predefinida. Sólo se preservan las variables de entorno HOME, LOGNAME, PATH, SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE, LC_*, y USER, además de las variables apartadas de SUDO_*.

Para una mejor comprensión del problema y de la solución, se reproduce a continuación el texto del aviso original:

Se ha descubierto que sudo, un programa privilegiado, que proporciona privilegios limitados de administrador a usuarios específicos, pasaba variables de entorno al programa que se ejecutaba con privilegios elevados. En el caso de incluir rutas (por ejemplo, para Perl, Python, Ruby u otros lenguajes de guiones), podía provocar la ejecución de código arbitrario como usuario privilegiado si el atacante apuntara a una versión manipulada de la biblioteca del sistema.

Esta actualización altera el comportamiento anterior de sudo y limita el número de variables de entorno admisibles a LC_*, LANG, LANGUAGE y TERM. Sólo se pueden pasar las variables adicionales que estén definidas en env_check, en /etc/sudoers, que pueden necesitar algunos guiones para seguir funcionando.

Para la distribución estable anterior (woody), este problema se ha corregido en la versión 1.6.6-1.6.

Para la distribución estable (sarge), este problema se ha corregido en la versión 1.6.8p7-1.4.

Para la distribución inestable (sid), este mismo problema se corregirá pronto.

Le recomendamos que actualice el paquete sudo. En la distribución inestable, es necesario añadir manualmente "Defaults = env_reset" a /etc/sudoers.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Fuentes:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.