Debians sikkerhedsbulletin

DSA-4614-1 sudo -- sikkerhedsopdatering

Rapporteret den:
1. feb 2020
Berørte pakker:
sudo
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 950371.
I Mitres CVE-ordbog: CVE-2019-18634.
Yderligere oplysninger:

Joe Vennix opdagede en stakbaseret bufferoverløbssårbarhed i sudo, et program der har til formål at give begrænsede superbrugerrettigheder til specifikke brugere, udløsbar når opsat med aktiveret pwfeedback-valgmulighed. En upriviligeret bruger kunne drage nytte af fejlen til at få komplette root-rettigheder.

Flere oplysninger findes i opstrøms bulletin på https://www.sudo.ws/alerts/pwfeedback.html.

I den gamle stabile distribution (stretch), er dette problem rettet i version 1.8.19p1-2.1+deb9u2.

I den stabile distribution (buster), forhindres udnyttelse af fejlen på grund af ændringer af EOF-håndteringen, som blev indført i version 1.8.26.

Vi anbefaler at du opgraderer dine sudo-pakker.

For detaljeret sikkerhedsstatus vedrørende sudo, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/sudo