Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3440-1 sudo

Debians sikkerhedsbulletin

DSA-3440-1 sudo -- sikkerhedsopdatering

Rapporteret den:

11. jan 2016

Berørte pakker:

sudo

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 804149.
I Mitres CVE-ordbog: CVE-2015-5602.

Yderligere oplysninger:

Når sudo er opsat til at tillade, at en bruger redigerer filer i en mappe, som vedkommende allerede kan skrive til uden sudo, kan vedkommende i virkeligheden redigere (læse og skrive) vilkårlige kode. Daniel Svartman rapporterede at en opsætning af den art, kunne opstå utilsigtet hvis redigerbare filer angives ved hjælp af wildcards, eksempelvis:

operator ALL=(root) sudoedit /home/*/*/test.txt

Sudos standardvirkemåde er ændret, således at den ikke tillader redigering af en fil i en mappe, som en bruger kan skrive til, eller tilgås ved at følge et symlink i en mappe, som en bruger kan skrive til. Begrænsningerne kan deaktiveres, men det frarådes på det kraftigste.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.8.5p2-1+nmu3+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 1.8.10p3-1+deb8u3.

I distributionen testing (stretch), er dette problem rettet i version 1.8.15-1.1.

I den ustabile distribution (sid), er dette problem rettet i version 1.8.15-1.1.

Vi anbefaler at du opgraderer dine sudo-pakker.