Рекомендация Debian по безопасности

DSA-946-2 sudo -- отсутствие очистки входных данных

Дата сообщения:
20.01.2006
Затронутые пакеты:
sudo
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 342948.
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 16184.
В каталоге Mitre CVE: CVE-2005-4158, CVE-2006-0151.
Более подробная информация:

Предыдущее исправление уязвимостей в пакете sudo работало вполне хорошо, но для некоторых окружений оказалось слишком ограничительным. В связи с этим внесённые изменения были пересмотрены, и было решено вернуть некоторые переменные окружения в привилегированный контекст. Поэтому выпускаем данное обновление.

Опция настройки "env_reset" теперь включена по умолчанию. Она сохраняет только следующие переменные окружения: HOME, LOGNAME, PATH, SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE, LC_* и USER, а также отдельные переменные SUDO_*.

Для полноты ниже приводится текст изначальной рекомендации:

Было обнаружено, что sudo, привилегированная программа, предоставляющая ограниченные права суперпользователя специально определённым пользователям, передаёт некоторые переменные окружения программе, запущенной с повышенными правами доступа. В случаях изменения путей (напр., для Perl, Python, Ruby или других языков сценариев) это может приводить к выполнению произвольного кода от лица привилегированного пользователя, если злоумышленник использует в сценарии изменённую версию системной библиотеки.

Данное обновление изменяет поведение sudo и ограничивает число поддерживаемых переменных окружения следующими переменными: LC_*, LANG, LANGUAGE и TERM. Дополнительные переменные могут быть переданы только через опцию env_check в /etc/sudoers, что может потребоваться для обеспечения работы некоторых сценариев.

В предыдущем стабильном выпуске (woody) эта проблема была исправлена в версии 1.6.6-1.6.

В стабильном выпуске (sarge) эта проблема была исправлена в версии 1.6.8p7-1.4.

В нестабильном выпуске (sid) то же поведение будет реализовано позже.

Рекомендуется обновить пакет sudo. В нестабильном выпуске следует вручную добавить директиву "Defaults = env_reset" в файл /etc/sudoers.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.

Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.