Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2642-1 sudo

Säkerhetsbulletin från Debian

DSA-2642-1 sudo -- flera sårbarheter

Rapporterat den:

2013-03-09

Berörda paket:

sudo

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 701838, Fel 701839.
I Mitres CVE-förteckning: CVE-2013-1775, CVE-2013-1776, CVE-2013-2776, CVE-2013-2777.

Ytterligare information:

Flera sårbarheter har hittats i sudo, ett program skapat för att tillåta en systemadministratör att ge begränsade rootprivilegier till användare. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-1775

  Marco Schoepl upptäckte en möjlighet att förbigå autentiseringen när klockan är satt till UNIX-epoken [00:00:00 UTC den 1 januari 1970].

• CVE-2013-1776

  Ryan Castellucci och James Ogden upptäckte aspekter av ett problem som tillåter kapning av sessions-id från en annan autoriserad tty.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 1.7.4p4-2.squeeze.4.

För uttestningsutgåvan (wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.5p2-1+nmu1.

Vi rekommenderar att ni uppgraderar era sudo-paket.