Долгосрочная поддержка Debian / Информация о безопасности LTS / 2016 / Информация о безопасности -- DLA-382-1 sudo

Рекомендация Debian по безопасности

DLA-382-1 sudo -- обновление безопасности LTS

Дата сообщения:

11.01.2016

Затронутые пакеты:

sudo

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 804149.
В каталоге Mitre CVE: CVE-2015-5602.

Более подробная информация:

Если утилита sudo настроена таким образом, что пользователь может редактировать файлы в каталоге, в котором этот пользователь уже имеет право на запись без sudo, то он может выполнять редактирование (чтение и запись) произвольных файлов. Даниэль Свартман сообщил, что подобные настройки могут быть и ненамеренными в том случае, если редактируемые файлы указаны с помощью знаков подстановки, например:

    operator ALL=(root) sudoedit /home/*/*/test.txt

Настройки sudo по умолчанию были изменены таким образом, что теперь редактирование файла в каталоге, в который пользователь уже имеет право на запись, либо файла, который может быть открыт через символьную ссылки в таком каталоге, запрещено. Эти ограничения можно отключить, но это крайне не рекомендуется.

В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.7.4p4-2.squeeze.6.

В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках эта проблема будет исправлена позже.