セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2642-1 sudo

Debian セキュリティ勧告

DSA-2642-1 sudo -- 複数の問題

報告日時:

2013-03-09

影響を受けるパッケージ:

sudo

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 701838, バグ 701839.
Mitre の CVE 辞書: CVE-2013-1775, CVE-2013-1776, CVE-2013-2776, CVE-2013-2777.

詳細:

複数の欠陥が、 システム管理者がユーザに制限されたスーパユーザ権限を与えるように設計されたプログラム sudo に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2013-1775

  Marco Schoepl さんが、時計が UNIX エポック [1970 年 1 月 1 日 00:00:00 UTC] に設定されている場合に認証を迂回することを発見しました。

• CVE-2013-1776

  Ryan Castellucci さんと James Ogden さんが、別の認証済み tty からのセッション ID 乗っ取りを許す可能性があることを発見しました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.7.4p4-2.squeeze.4 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.8.5p2-1+nmu1 で修正されています。

直ちに sudo パッケージをアップグレードすることを勧めます。