GLSA 201606-13: sudo: Unauthorized privilege escalation in sudoedit

Опасность:средняя
Заголовок:sudo: Unauthorized privilege escalation in sudoedit
Дата:26.06.2016
Ошибки: #564774
ID:201606-13

Сводка

sudo is vulnerable to an escalation of privileges via a symlink attack.

Назначение

sudo (su “do”) allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as root or another user while providing an audit trail of the commands and their arguments.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
app-admin/sudo < 1.8.15-r1 >= 1.8.15-r1 All supported architectures

Описание

sudoedit in sudo is vulnerable to the escalation of privileges by local users via a symlink attack. This can be exploited by a file whose full path is defined using multiple wildcards in /etc/sudoers, as demonstrated by “/home///file.txt.

Воздействие

Local users are able to gain unauthorized privileges on the system.

Обход

There is no known work around at this time.

Решение

All sudo users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.15-r1"
    

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201606-13.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!