Debian 安全报告

DSA-4543-1 sudo -- 安全更新

报告日期:
2019/10/14
受影响的软件:
sudo
可被袭击:
参考的安全性数据库:
在 Debian 臭虫追踪系统中: 臭虫 942322.
在 Mitre's CVE 的目录中: CVE-2019-14287.
更详尽的信息:

Joe Vennix 发现 sudo(一款设计用于为特定用户提供受限的超级用户权限的程序)在通过 ALL 关键字配置,允许用户以指定用户身份通过 RunAs 方式执行命令时,sudo 会允许用户通过指定用户 ID 为 -1 或 4294967295,从而以 root 身份执行命令。这会使得用户即使在 RunAs 方式明确禁止 root 权限的情况下,获得充分的 sudo 权限来以 root 身份执行命令。

细节信息可以访问上游公告获取: https://www.sudo.ws/alerts/minus_1_uid.html

对旧稳定版系统(stretch),该问题已在 1.8.19p1-2.1+deb9u1 版本中修复。

对稳定版系统(buster),该问题已在 1.8.27-1+deb10u1 版本中修复。

我们推荐您升级您的 sudo 软件包。

如需了解 sudo 的详细安全状态,请参考其安全追踪页面: https://security-tracker.debian.org/tracker/sudo