Debians sikkerhedsbulletin

DSA-4543-1 sudo -- sikkerhedsopdatering

Rapporteret den:
14. okt 2019
Berørte pakker:
sudo
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 942322.
I Mitres CVE-ordbog: CVE-2019-14287.
Yderligere oplysninger:

Joe Vennix opdagede at sudo, et program designet til at levere begrænsede superbrugerrettigheder til specifikke brugere, når det er opsat til at tillade at en bruger kører kommandoer som en vilkårlig bruger gennem ALL-nøgleordet i Runas-specifikation, gjorde det muligt at køre kommandoer som root ved at angive bruger-id'en -1 eller 4294967295. Dermed kunne en bruger med tilstrækkelige sudo-rettigheder køre kommandoer som root, selv hvis Runas-specifikationen eksplicit ikke tillader root-adgang.

Detaljerede oplysninger findes i opstrøms bulletin på https://www.sudo.ws/alerts/minus_1_uid.html.

I den gamle stabile distribution (stretch), er dette problem rettet i version 1.8.19p1-2.1+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 1.8.27-1+deb10u1.

Vi anbefaler at du opgraderer dine sudo-pakker.

For detaljeret sikkerhedsstatus vedrørende sudo, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/sudo