Säkerhetsbulletin från Debian

DSA-3167-1 sudo -- säkerhetsuppdatering

Rapporterat den:
2015-02-22
Berörda paket:
sudo
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 772707.
I Mitres CVE-förteckning: CVE-2014-9680.
Ytterligare information:

Jakub Wilk rapporterade att sudo, ett program designat för att tillhandahålla begränsade superanvändarrättigheter till specifika användare, presenterar TZ-variabeln från en användares miljö utan någon rengörning. En användare med sudo-åtkomst kan dra fördel av detta för att exploatera fel i funktioner i C-biblioteket som tolkar TZ-miljövariabeln eller för att öppna filer som de annars inte hade haft tillgång till. Det senare kunde potentiellt orsaka förändringar i systembeteende vid läsning av vissa specialfiler för enheter eller orsaka programmet som körs via sudo att blockeras.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.8.5p2-1+nmu2.

Vi rekommenderar att ni uppgraderar era sudo-paket.