Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3167-1 sudo

Säkerhetsbulletin från Debian

DSA-3167-1 sudo -- säkerhetsuppdatering

Rapporterat den:

2015-02-22

Berörda paket:

sudo

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 772707.
I Mitres CVE-förteckning: CVE-2014-9680.

Ytterligare information:

Jakub Wilk rapporterade att sudo, ett program designat för att tillhandahålla begränsade superanvändarrättigheter till specifika användare, presenterar TZ-variabeln från en användares miljö utan någon rengörning. En användare med sudo-åtkomst kan dra fördel av detta för att exploatera fel i funktioner i C-biblioteket som tolkar TZ-miljövariabeln eller för att öppna filer som de annars inte hade haft tillgång till. Det senare kunde potentiellt orsaka förändringar i systembeteende vid läsning av vissa specialfiler för enheter eller orsaka programmet som körs via sudo att blockeras.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.8.5p2-1+nmu2.

Vi rekommenderar att ni uppgraderar era sudo-paket.