Bulletin d'alerte Debian
DSA-596-2 sudo -- Manque de vérifications des entrées
- Date du rapport :
- 24 novembre 2004
- Paquets concernés :
- sudo
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 281665.
Dans le dictionnaire CVE du Mitre : CVE-2004-1051. - Plus de précisions :
-
Liam Helmer a remarqué que sudo, un programme qui fournit des privilèges limités de superutilisateur à certains utilisateurs, ne nettoie pas suffisamment l'environnement. Les fonctions bash et la variable CDPATH sont toujours passées au programme exécuté avec l'utilisateur privilégié, offrant des possibilités de surcharge de routines système. Ces failles de sécurité peuvent seulement être exploitées par des utilisateurs qui se sont vus confier des privilèges limités de superutilisateur.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.6.6-1.3.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.6.8p3.
Nous vous recommandons de mettre à jour votre paquet sudo.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.