Информация по безопасности / 2013 / Информация о безопасности -- DSA-2642-1 sudo

Рекомендация Debian по безопасности

DSA-2642-1 sudo -- несколько уязвимостей

Дата сообщения:

09.03.2013

Затронутые пакеты:

sudo

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 701838, Ошибка 701839.
В каталоге Mitre CVE: CVE-2013-1775, CVE-2013-1776, CVE-2013-2776, CVE-2013-2777.

Более подробная информация:

В sudo, программе, разработанной для передачи обычным пользователям ограниченных прав суперпользователя, были обнаружены несколько проблем. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-1775

  Марко Шопель обнаружил обход авторизации в случае, когда часы установлены в значение эпохи UNIX [00:00:00 UTC, 1 января 1970 года].

• CVE-2013-1776

  Райан Кастеллучи и Джеймс Огден обнаружили некоторые аспекты проблемы, позволяющей угнать сессию идентификации из другой авторизованной tty.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.7.4p4-2.squeeze.4.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.8.5p2-1+nmu1.

Рекомендуется обновить пакеты sudo.