Debian セキュリティ勧告
DSA-735-1 sudo -- パス名検証に競合条件
- 報告日時:
- 2005-07-01
- 影響を受けるパッケージ:
- sudo
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 315115.
Mitre の CVE 辞書: CVE-2005-1993. - 詳細:
-
sudo を経由したコマンドの実行を許可されているローカルユーザが、sudo のパス名検証の欠陥のため、権限のあるユーザで任意のコマンドを実行する可能性があります。 このバグは、設定ファイル中で制限ユーザの設定を ALL ディレクティブよりも先に指示している設定にのみ影響します。対処策は ALL ディレクティブをすべて sudoers ファイルの冒頭に配置することです。 さらなる情報については、http://www.sudo.ws/sudo/alerts/path_race.html の勧告を見てください。
旧安定版 (old stable) Debian ディストリビューション (woody) では、この問題はバージョン 1.6.6-1.3woody1 で修正されています。
現在の安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 1.6.8p7-1.1sarge1 で修正されています。
特定のアーキテクチャでパッケージが用意できていないことに注意してください。 利用可能になった時点でリリースされます。
直ちに sudo パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_alpha.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.3woody1_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- ソース:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.dsc
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_alpha.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.1sarge1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。