Рекомендация Debian по безопасности

DLA-382-1 sudo -- обновление безопасности LTS

Дата сообщения:
11.01.2016
Затронутые пакеты:
sudo
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 804149.
В каталоге Mitre CVE: CVE-2015-5602.
Более подробная информация:

Если утилита sudo настроена таким образом, что пользователь может редактировать файлы в каталоге, в котором этот пользователь уже имеет право на запись без sudo, то он может выполнять редактирование (чтение и запись) произвольных файлов. Даниэль Свартман сообщил, что подобные настройки могут быть и ненамеренными в том случае, если редактируемые файлы указаны с помощью знаков подстановки, например:

    operator ALL=(root) sudoedit /home/*/*/test.txt

Настройки sudo по умолчанию были изменены таким образом, что теперь редактирование файла в каталоге, в который пользователь уже имеет право на запись, либо файла, который может быть открыт через символьную ссылки в таком каталоге, запрещено. Эти ограничения можно отключить, но это крайне не рекомендуется.

В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.7.4p4-2.squeeze.6.

В предыдущем стабильном (wheezy) и стабильном (jessie) выпуска эта проблема будет исправлена позже.