Bulletin d'alerte Debian

DSA-735-1 sudo -- Situation de concurrence dans la validation des chemins

Date du rapport :

1^er juillet 2005

Paquets concernés :

sudo

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 315115.
Dans le dictionnaire CVE du Mitre : CVE-2005-1993.

Plus de précisions :

Un utilisateur local ayant été autorisé à exécuter des commandes via sudo pouvait exécuter des commandes arbitraires en tant qu'utilisateur privilégié, en raison d'un défaut dans le processus de validation des chemins dans sudo. Ce bogue touche uniquement les configurations où des restrictions sur les utilisateurs apparaissent dans le fichier de configuration avant une directive « ALL ». Une alternative consiste à déplacer toutes les directives « ALL » en haut du fichier « sudoers ». Reportez-vous au bulletin à l'adresse http://www.sudo.ws/sudo/alerts/path_race.html pour plus d'informations.

Pour l'ancienne distribution stable (Woody), ce problème a été corrigé dans la version 1.6.6-1.3woody1.

Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 1.6.8p7-1.1sarge1.

Veuillez noter que les paquets ne sont pas encore prêts pour certaines architectures ; ils seront publiés aussitôt disponibles.

Nous vous recommandons de mettre à jour votre paquet sudo.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_alpha.deb
HP Precision:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_m68k.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.dsc; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz; http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_alpha.deb
HP Precision:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_ia64.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_m68k.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.