Debians sikkerhedsbulletin

DLA-382-1 sudo -- LTS-sikkerhedsopdatering

Rapporteret den:
11. jan 2016
Berørte pakker:
sudo
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 804149.
I Mitres CVE-ordbog: CVE-2015-5602.
Yderligere oplysninger:

Når sudo er opsat til at tillade at en bruger redigerer filer under en mappe, som de allerede kan skrive til uden at bruge sudo, kan vedkommende faktisk redigere (læse og skrive) vilkårlige filer. Daniel Svartman rapporterede at en opsætning som denne, kunne blive indført utilsigtigt, hvis de redigerbare filer angives ved hjælp af wildcards, eksempelvis:

    operator ALL=(root) sudoedit /home/*/*/test.txt

Sudos standardvirkemåde er ændret således, at den ikke tillader redigering af en fil i en mappe, som brugeren kan skrive til, eller som der navigeres hen til ved at følge et symlink i en mappe, som brugeren kan skrive til. Begrænsningerne kan deaktiveres, men det frarådes kraftigt.

I den gamle, gamle stabile distribution (squeeze), er dette rettet i version 1.7.4p4-2.squeeze.6.

I den gamle stabile distribution (wheezy) og i den stabile distribution (jessie), vil dette snart blive rettet.