Säkerhetsbulletin från Debian
DSA-946-2 sudo -- städar inte indata
- Rapporterat den:
- 2006-01-20
- Berörda paket:
- sudo
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 342948.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 16184.
I Mitres CVE-förteckning: CVE-2005-4158, CVE-2006-0151. - Ytterligare information:
-
Den tidigare uppdateringen till sårbarheterna i sudo-paketet fungerade väl, men var för strikta för vissa miljöer. Därför har vi ännu en gång sett över ändringarna och tillåtit vissa miljövariabler att kopieras in i den privilegierade exekveringsmiljön. Därav denna uppdatering.
Konfigurationsalternativete "env_reset" aktiveras nu som standard. Den behåller endast miljövariablerna HOME, LOGNAME, PATH, SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE, LC_* och USER i tllägg till de separata SUDO_*-variablerna.
Texten från originalbulletinen följer nedan:
Det har upptäckts att sudo, ett program som ger begränsad superanvändarbehörighet till specifika användare, sänder flera miljövariabler till program som kör med utökade privilegier. När det gäller inkluderingssökvägar (t.ex för Perl, Python, Ruby och andra skriptspråk) kan detta leda till att godtycklig kod utförs som en privilegierad användare om angriparen pekar mot en manipulerad version av ett systembibliotek.
Denna uppdatering ändrar det tidigare beteendet i sudo och begränsar de stödda miljövariablerna till LC_*, LANG, LANGUAGE och TERM. Ytterligare variabler sänds endast genom när de satts med env_check i /etc/sudoers, vilket kan krävas för att vissa skript skall fortsätta att fungera.
För den gamla stabila utgåvan (Woody) har detta problem rättats i version 1.6.6-1.6.
För den stabila utgåvan (Sarge) har detta problem rättats i version 1.6.8p7-1.4.
För den instabila utgåvan (Sid) kommer samma beteende tas i bruk inom kort.
Vi rekommenderar att ni uppgraderar ert sudo-paket. För den instabila utgåvan måste ”Defaults = env_reset” manuellt läggas till i /etc/sudoers.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.
MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.