Информация по безопасности / 2016 / Информация о безопасности -- DSA-3440-1 sudo

Рекомендация Debian по безопасности

DSA-3440-1 sudo -- обновление безопасности

Дата сообщения:

11.01.2016

Затронутые пакеты:

sudo

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 804149.
В каталоге Mitre CVE: CVE-2015-5602.

Более подробная информация:

Если утилита sudo настроена так, что пользователь может редактировать файлы в каталоге, в котором они уже до этого могли выполнять запись и без sudo, то они могут редактировать (выполнять чтение и запись) произвольные файлы. Дэниель Свартман сообщил, что такие настройки могут быть выполнены случайно в том случае, если файлы для редактирования указываются с использованием шаблонов подстановки, например:

operator ALL=(root) sudoedit /home/*/*/test.txt

По умолчанию поведение sudo изменено так, чтобы редактирование файла в каталоге, в который пользователь может выполнять запись, либо файла, который можно открыть через символьную ссылку в каталоге, в который пользователь может выполнять запись, не разрешалось. Эти ограничения можно отключить, но делать это не рекомендуется.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.8.5p2-1+nmu3+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.8.10p3-1+deb8u3.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 1.8.15-1.1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.8.15-1.1.

Рекомендуется обновить пакеты sudo.