Säkerhetsbulletin från Debian

DSA-3867-1 sudo -- säkerhetsuppdatering

Rapporterat den:

2017-05-30

Berörda paket:

sudo

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 863731.
I Mitres CVE-förteckning: CVE-2017-1000367.

Ytterligare information:

Qualys säkerhetsgrupp har upptäckt att sudo, ett program som är designat för att tillhandahålla begränsade superanvändarrättigheter till specifika användare, inte tolkar "/proc/[pid]/stat" för att läsa enhetsnummer för tty från fält 7 (tty_nr) ordentligt. En sudoers-användare kan dra fördel av denna brist på ett SELinux-aktiverat system för att få fullständiga rooträttigheter.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.8.10p3-1+deb8u4.

Vi rekommenderar att ni uppgraderar era sudo-paket.