Aviso de seguridad de Debian

DSA-4543-1 sudo -- actualización de seguridad

Fecha del informe:
14 de oct de 2019
Paquetes afectados:
sudo
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 942322.
En el diccionario CVE de Mitre: CVE-2019-14287.
Información adicional:

Joe Vennix descubrió que sudo, un programa diseñado para proporcionar a usuarios específicos privilegios limitados de superusuario, permite ejecutar órdenes como root si se especifica el ID de usuario -1 ó 4294967295 cuando está configurado para permitir que un usuario ejecute órdenes como un usuario arbitrario a través de la palabra clave ALL en una especificación Runas. Esto podría permitir que un usuario con los privilegios de sudo suficientes ejecutara órdenes como root incluso si la especificación Runas prohíbe explícitamente el acceso a root.

Se pueden encontrar detalles en el aviso del proyecto original: https://www.sudo.ws/alerts/minus_1_uid.html .

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 1.8.19p1-2.1+deb9u1.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 1.8.27-1+deb10u1.

Le recomendamos que actualice los paquetes de sudo.

Para información detallada sobre el estado de seguridad de sudo, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/sudo