Debian-Sicherheitsankündigung
DSA-946-2 sudo -- Fehlende Entschärfung der Eingabe
- Datum des Berichts:
- 20. Jan 2006
- Betroffene Pakete:
- sudo
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 342948.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 16184.
In Mitres CVE-Verzeichnis: CVE-2005-4158, CVE-2006-0151. - Weitere Informationen:
-
Die vorherige Korrektur der Verwundbarkeiten im sudo-Paket funktionierte gut, war aber unter bestimmten Bedingungen zu streng. Daher haben wir die Änderungen nochmal einer Prüfung unterzogen und erlauben nun einigen Umgebungsvariablen, in die privilegierte Ausführungsumgebung aufgenommen zu werden. Deswegen diese Aktualisierung.
Die Konfigurationsoption
env_reset
ist nun standardmäßig aktiviert. Zusätzlich zu den separaten Variablen SUDO_* werden nur die Umgebungsvariablen HOME, LOGNAME, PATH, SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE, LC_* und USER erhalten.Der Vollständigkeit halber finden Sie unten den Text des ursprünglichen Gutachtens:
Es wurde entdeckt, dass sudo, ein privilegiertes Programm, das bestimmten Benutzern begrenzte Administratorrechte bereitstellt, mehrere Umgebungsvariablen an das Programm weitergibt, welches mit erhöhten Rechten ausgeführt wird. Im Falle von
include
-Pfaden (z.B. für Perl, Python, Ruby und anderen Skriptsprachen) kann dies die Ausführung von beliebigem Code als privilegierter Benutzer zur Folge haben, wenn der Angreifer auf eine manipulierte Version einer Systembibliothek verweist.Diese Aktualisierung verändert das frühere Verhalten von sudo und begrenzt die Anzahl an unterstützten Umgebungsvariablen auf LC_*, LANG, LANGUAGE und TERM. Zusätzliche Variablen werden nur dann weitergereicht, wenn sie als
env_check
in der Datei /etc/sudoers markiert sind. Dies kann für einige Skripte notwendig sein, damit diese weiterhin funktionieren.Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 1.6.6-1.6 behoben.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.6.8p7-1.4 behoben.
Für die Unstable-Distribution (Sid) wird das selbe Verhalten bald implementiert werden.
Wir empfehlen Ihnen, Ihr sudo-Paket zu aktualisieren. Für Unstable muss die Zeile
Defaults = env_reset
zur Datei /etc/sudoers manuell hinzugefügt werden. - Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.
