Debian-Sicherheitsankündigung

DSA-870-1 sudo -- Fehlende Entschärfung der Eingabe

Datum des Berichts:

25. Okt 2005

Betroffene Pakete:

sudo

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2005-2959.

Weitere Informationen:

Tavis Ormandy bemerkte, dass sudo, ein Programm, das ausgewählten Benutzern begrenzte Superuser-Rechte zur Verfügung stellt, die Umgebung nicht ausreichend säubert. Die Variablen SHELLOPTS und PS4 sind gefährlich und werden trotzdem an das Programm weitergereicht, das als privilegierter Benutzer ausgeführt wird. Dies kann die Ausführung von beliebigen Befehlen als privilegierter Benutzer zur Folge haben, wenn ein Bash-Skript ausgeführt wird. Diese Verwundbarkeiten können nur von Benutzern ausgenutzt werden, die begrenzte Rechte als Superuser genehmigt bekommen haben.

Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 1.6.6-1.4 behoben.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.6.8p7-1.2 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.6.8p9-3 behoben.

Wir empfehlen Ihnen, Ihr sudo-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4.dsc; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4.diff.gz; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2.dsc; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2.diff.gz; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.