Debian-Sicherheitsankündigung
DSA-735-1 sudo -- Race-Condition bei der Überprüfung von Pfadnamen
- Datum des Berichts:
- 01. Jul 2005
- Betroffene Pakete:
- sudo
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 315115.
In Mitres CVE-Verzeichnis: CVE-2005-1993. - Weitere Informationen:
-
Ein lokaler Benutzer, dem die Ausführung von Befehlen mittels sudo gestattet wurde, kann beliebige Befehle als privilegierter Benutzer ausführen, weil sudos Überprüfung der Pfadnamen einen Fehler enthält. Dieser Fehler betrifft lediglich Konfigurationen, die eingeschränkte Benutzerkonfigurationen vor einer ALL-Anweisung in der Konfigurationsdatei enthalten. Eine Zwischenlösung ist, alle ALL-Anweisungen an den Anfang der Datei sudoers zu stellen; siehe die Ankündigung unter http://www.sudo.ws/sudo/alerts/path_race.html für weitere Informationen.
Für die alte Debian Stable-Distribution (Woody) wurde dieses Problem in Version 1.6.6-1.3woody1 behoben.
Für die aktuelle Stable-Distribution (Sarge) wurde dieses Problem in Version 1.6.8p7-1.1sarge1 behoben.
Beachten Sie, dass diese Pakete für bestimmte Architekturen noch nicht fertig sind; diese werden veröffentlicht, sobald sie verfügbar sind.
Wir empfehlen Ihnen, Ihr sudo-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_alpha.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_alpha.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.