GLSA 201401-23: sudo: Privilege escalation
| Опасность: | высокая |
| Заголовок: | sudo: Privilege escalation |
| Дата: | 21.01.2014 |
| Ошибки: | |
| ID: | 201401-23 |
Сводка
Multiple vulnerabilities have been found in sudo which could result in privilege escalation.Назначение
sudo allows a system administrator to give users the ability to run commands as other users. Access to commands may also be granted on a range to hosts.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-admin/sudo | < 1.8.6_p7 | >= 1.8.6_p7 | All supported architectures |
Описание
Multiple vulnerabilities have been found in sudo:
- sudo does not correctly validate the controlling terminal on a system without /proc or when the tty_tickets option is enabled.
- sudo does not properly handle the clock when it is set to the epoch.
Воздействие
A local attacker with sudo privileges could connect to the stdin, stdout, and stderr of the terminal of a user who has authenticated with sudo, allowing the attacker to hijack the authorization of the other user. Additionally, a local or physically proximate attacker could set the system clock to the epoch, bypassing time restrictions on sudo authentication.
Обход
There is no known workaround at this time.
Решение
All sudo users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-admin/sudo-1.8.6_p7"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.