Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3440-1 sudo

Säkerhetsbulletin från Debian

DSA-3440-1 sudo -- säkerhetsuppdatering

Rapporterat den:

2016-01-11

Berörda paket:

sudo

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 804149.
I Mitres CVE-förteckning: CVE-2015-5602.

Ytterligare information:

När sudo är konfigurerat att tillåta en användare att redigera filer under en mapp som de redan kan skriva till utan att använda sudo, kan de faktiskt redigera (läsa och skriva) godtyckliga filer. Daniel Svartman rapporterade att en konfiguration som denna kan introduceras oavsiktligt om de redigerbara filerna specificeras med hjälp av jokertecken, exempelvis:

operator ALL=(root) sudoedit /home/*/*/test.txt

sudos standardbeteende har förändrats så att det inte tillåter att redigera filer i en mapp som användaren kan skriva till, eller som nås genom att följa en symbolisk länk i en mapp som användaren kan skriva till. Dessa restriktioner kan inaktiveras, men detta avråds starkt.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.8.5p2-1+nmu3+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.8.10p3-1+deb8u3.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 1.8.15-1.1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.8.15-1.1.

Vi rekommenderar att ni uppgraderar era sudo-paket.