Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3167-1 sudo

Debians sikkerhedsbulletin

DSA-3167-1 sudo -- sikkerhedsopdatering

Rapporteret den:

22. feb 2015

Berørte pakker:

sudo

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 772707.
I Mitres CVE-ordbog: CVE-2014-9680.

Yderligere oplysninger:

Jakub Wilk rapporterede at sudo, et program der har til formål at give begrænset superbrugeradgang til specifikke brugere, bevarede en TZ-variabel fra en brugers miljø, uden nogen fornuftighedskontrol. En bruger med sudoadgang, kunne drage nytte af det til at misbruge fejl i C-biblioteksfunktioner, der fortolker TZ-miljøvariablen eller til at åbne filer, som brugeren ellers ikke ville være i stand til at åbne. Sidstnævnte kunne potentielt forårsage ændringer i den måde, systemet opfører sig på, hvis enhedsspecifikke filer læses, eller medføre at programmet kører via sudo til block'en.

I den stabile distribution (wheezy), er dette problem rettet i version 1.8.5p2-1+nmu2.

Vi anbefaler at du opgraderer dine sudo-pakker.