Aviso de seguridad de Debian
DSA-735-1 sudo -- fuga en validación de nombre de ruta
- Fecha del informe:
- 1 de jul de 2005
- Paquetes afectados:
- sudo
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 315115.
En el diccionario CVE de Mitre: CVE-2005-1993. - Información adicional:
-
Un usuario local que hubiese obtenido permiso para ejecutar órdenes por medio de sudo podía ejecutar órdenes arbitrarias como usuario privilegiado, debido a una debilidad en la validación del nombre de la ruta en sudo. Este error únicamente afecta a las configuraciones que tuviesen opciones para usuarios restringidos antes de una directiva «ALL» en el archivo de configuración. Una solución temporal podría ser ubicar todas las directivas «ALL» al comienzo del archivo sudoers. Si quiere más información, puede acceder al aviso en http://www.sudo.ws/sudo/alerts/path_race.html.
Para la distribución estable antigua de Debian (woody), este problema se ha corregido en la versión 1.6.6-1.3woody1.
Para la distribución estable (sarge), este problema se ha corregido en la versión 1.6.8p7-1.1sarge1.
Tenga en cuenta que aún no hay paquetes disponibles para todas las arquitecturas. Se irán publicando a medida que vayan estando disponibles.
Le recomendamos que actualice el paquete sudo.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_alpha.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_alpha.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.