Debian 安全報告

DSA-4543-1 sudo -- 安全更新

報告日期:
2019/10/14
受影響的軟體:
sudo
可被襲擊:
參考的安全性資料庫:
在 Debian 臭蟲追蹤系統中: 臭蟲 942322.
在 Mitre's CVE 的目錄中: CVE-2019-14287.
更詳盡的資訊:

Joe Vennix 發現 sudo(一款設計用於為特定使用者提供受限的超級使用者權限的程序)在透過 ALL 關鍵字配置,允許使用者以指定使用者身份透過 RunAs 方式執行命令時,sudo 會允許使用者透過指定使用者 ID 為 -1 或 4294967295,從而以 root 身份執行命令。這會使得使用者即使在 RunAs 方式明確禁止 root 權限的情況下,獲得充分的 sudo 權限來以 root 身份執行命令。

細節信息可以訪問上游公告獲取: https://www.sudo.ws/alerts/minus_1_uid.html

對舊穩定版系統(stretch),該問題已在 1.8.19p1-2.1+deb9u1 版本中修復。

對穩定版系統(buster),該問題已在 1.8.27-1+deb10u1 版本中修復。

我們推薦您升級您的 sudo 套件。

如需瞭解 sudo 的詳細安全狀態,請參考其安全追蹤頁面: https://security-tracker.debian.org/tracker/sudo