月曜日, 6月 14, 2010

「sudo」セキュリティ問題(CVE-2010-1646)

本件のセキュリティ問題について下記のUNIX OSソフトに影響があります↓
影響されたソフトとバーション情報は下記のURLに書いてあります↓
http://www.securityfocus.com/bid/40538

影響されてないソフト名とバーションは下記となります↓
Todd Miller Sudo 1.7.2 p7
Todd Miller Sudo 1.6.9 p23

問題の説明は下記となります↓
本件セキュリティ問題に影響されたsudoバーションはシステムenvironmentの情報をgetenv()コマンドで情報を取りますので、いくつかshell環境は別のenvironmentが持っていますがその時に正しいシステムのPATH情報を取れない可能性が出ます。もしこの状況をマルウェアに使われたらセキュリティ問題が出る可能性が高いです。

解決方法は↓
sudo 1.6.9p23 とsudo 1.7.2p7にアップグレードが必要です。

セキュリティ問題レジェンド↓
Class: Design Error
CVE: CVE-2010-1646
Remote: No
Local: Yes
Published: Jun 01 2010 12:00AM
Updated: Jun 01 2010 12:00AM
Credit: Evan Broder とAnders Kaseorg of Ksplice, Inc.

リファレンス↓



---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

0 件のコメント:

コメントを投稿