Debian-Sicherheitsankündigung
DSA-870-1 sudo -- Fehlende Entschärfung der Eingabe
- Datum des Berichts:
- 25. Okt 2005
- Betroffene Pakete:
- sudo
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2005-2959.
- Weitere Informationen:
-
Tavis Ormandy bemerkte, dass sudo, ein Programm, das ausgewählten Benutzern begrenzte Superuser-Rechte zur Verfügung stellt, die Umgebung nicht ausreichend säubert. Die Variablen SHELLOPTS und PS4 sind gefährlich und werden trotzdem an das Programm weitergereicht, das als privilegierter Benutzer ausgeführt wird. Dies kann die Ausführung von beliebigen Befehlen als privilegierter Benutzer zur Folge haben, wenn ein Bash-Skript ausgeführt wird. Diese Verwundbarkeiten können nur von Benutzern ausgenutzt werden, die begrenzte Rechte als Superuser genehmigt bekommen haben.
Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 1.6.6-1.4 behoben.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.6.8p7-1.2 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.6.8p9-3 behoben.
Wir empfehlen Ihnen, Ihr sudo-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.4_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.