Säkerhetsbulletin från Debian

DSA-4543-1 sudo -- säkerhetsuppdatering

Rapporterat den:
2019-10-14
Berörda paket:
sudo
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 942322.
I Mitres CVE-förteckning: CVE-2019-14287.
Ytterligare information:

Joe Vennix upptäckte att sudo, ett program designat för att tillhandahålla begränsade superanvändarrättigheter till specifika användare, tillåter att köra kommandon som root genom att specificera användar-ID -1 eller 4294967295 när den konfigureras att tillåta en användare att köra kommandon som en godtycklig användare via nyckelordet ALL i en Runas-specifikation. Detta kunde tillåta en användare med tillräckliga sudo-rättigheter att köra kommandon som root trots att Runas-specifikationen explicit inte tillåter root-åtkomst.

Detaljer kan hittas i uppströmsbulletinen på https://www.sudo.ws/alerts/minus_1_uid.html .

För den gamla stabila utgåvan (Stretch) har detta problem rättats i version 1.8.19p1-2.1+deb9u1.

För den stabila utgåvan (Buster) har detta problem rättats i version 1.8.27-1+deb10u1.

Vi rekommenderar att ni uppgraderar era sudo-paket.

För detaljerad säkerhetsstatus om sudo vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/sudo