Рекомендация Debian по безопасности

DLA-160-1 sudo -- обновление безопасности LTS

Дата сообщения:
27.02.2015
Затронутые пакеты:
sudo
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0106, CVE-2014-9680.
Более подробная информация:

Данное обновление исправляет описанные ниже CVE.

  • CVE-2014-0106

    Тодд Миллер сообщил, что если опция env_reset отключена в файле sudoers, то опция env_delete неправильно применяется к переменным окружения, указанным в командной строке. Злоумышленник с правами на использование sudo может запустить произвольные команды с повышенными правами доступа путём изменения окружения команды, которую этому пользователю разрешено запускать.

  • CVE-2014-9680

    Якуб Вилк сообщил, что sudo сохраняет переменную TZ из пользовательского окружения без какой-либо её очистки. Пользователь с доступом к sudo может использовать это для того, чтобы использовать ошибки в функциях библиотеки C, которые выполняют грамматический разбор переменной окружения TZ, или для открытия файлов, которые в противном случае этому пользователю открывать нельзя. Последнее может потенциально вызвать изменения в поведении системы при чтении определённых специальных файлов устройств или вызвать блокировку запуска программы через sudo.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.7.4p4-2.squeeze.5.

В стабильном выпуске (wheezy) они были исправлены в версии 1.8.5p2-1+nmu2.

Рекомендуется обновить пакеты sudo.