Säkerhetsbulletin från Debian
DSA-3167-1 sudo -- säkerhetsuppdatering
- Rapporterat den:
- 2015-02-22
- Berörda paket:
- sudo
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 772707.
I Mitres CVE-förteckning: CVE-2014-9680. - Ytterligare information:
-
Jakub Wilk rapporterade att sudo, ett program designat för att tillhandahålla begränsade superanvändarrättigheter till specifika användare, presenterar TZ-variabeln från en användares miljö utan någon rengörning. En användare med sudo-åtkomst kan dra fördel av detta för att exploatera fel i funktioner i C-biblioteket som tolkar TZ-miljövariabeln eller för att öppna filer som de annars inte hade haft tillgång till. Det senare kunde potentiellt orsaka förändringar i systembeteende vid läsning av vissa specialfiler för enheter eller orsaka programmet som körs via sudo att blockeras.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.8.5p2-1+nmu2.
Vi rekommenderar att ni uppgraderar era sudo-paket.