DSA-4543-1 sudo - aktualizacja bezpieczeństwa

Joe Vennix odkrył, że sudo, pozwala on uruchamianie poleceń jako dowolny użytkownik za pomocą słowa kluczowego ALL w specyfikacji Runas, np jako root, określając ID użytkownika -1 lub 4294967295. Może to pozwolić użytkownikowi z wystarczającymi uprawnieniami sudo na uruchamianie poleceń jako root, nawet jeśli konfiguracja wyraźnie zabrania dostępu do roota.

W przypadku dystrybucji oldstable (stretch) ten problem został rozwiązany w wersji 1.8.19p1-2.1 + deb9u1. W przypadku stabilnej dystrybucji (buster) ten problem został rozwiązany w wersji 1.8.27-1 + deb10u1.

Zalecamy aktualizację pakietów sudo. Szczegółowy status bezpieczeństwa sudo można znaleźć pod adresem: https://security-tracker.debian.org/tracker/sudo

Dodany: 16 paź 2019 o 14:32
przez: BiExi

OSnews Wykop Blip Flaker Kciuk Śledzik Facebook Identi.ca Twitter del.icio.us Google Bookmarks

Komentarze (RSS):

1  Gość: Gość (5370ccafd1), dodany: 2019-10-18 07:35 #4023
w testing (bullseye) jescze nie ma, można zainstalować z unstable (sid) sudo wer.1.8.27-1.1

2  Gość: Gość (5370ccafd1), dodany: 2019-10-19 05:48 #4024
w testing (bullseye) już jest sudo wer.1.8.27-1.1

Dodaj komentarz jako gość lub zaloguj się.


Podpis: