Säkerhetsbulletin från Debian

DSA-3867-1 sudo -- säkerhetsuppdatering

Rapporterat den:
2017-05-30
Berörda paket:
sudo
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 863731.
I Mitres CVE-förteckning: CVE-2017-1000367.
Ytterligare information:

Qualys säkerhetsgrupp har upptäckt att sudo, ett program som är designat för att tillhandahålla begränsade superanvändarrättigheter till specifika användare, inte tolkar "/proc/[pid]/stat" för att läsa enhetsnummer för tty från fält 7 (tty_nr) ordentligt. En sudoers-användare kan dra fördel av denna brist på ett SELinux-aktiverat system för att få fullständiga rooträttigheter.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.8.10p3-1+deb8u4.

Vi rekommenderar att ni uppgraderar era sudo-paket.