影響されたソフトとバーション情報は下記のURLに書いてあります↓
http://www.securityfocus.com/bid/40538
http://www.securityfocus.com/bid/40538
影響されてないソフト名とバーションは下記となります↓
Todd Miller Sudo 1.7.2 p7
Todd Miller Sudo 1.6.9 p23
Todd Miller Sudo 1.6.9 p23
問題の説明は下記となります↓
本件セキュリティ問題に影響されたsudoバーションはシステムenvironmentの情報をgetenv()コマンドで情報を取りますので、いくつかshell環境は別のenvironmentが持っていますがその時に正しいシステムのPATH情報を取れない可能性が出ます。もしこの状況をマルウェアに使われたらセキュリティ問題が出る可能性が高いです。
解決方法は↓
sudo 1.6.9p23 とsudo 1.7.2p7にアップグレードが必要です。
セキュリティ問題レジェンド↓
Class: Design Error
CVE: CVE-2010-1646
Remote: No
Local: Yes
Published: Jun 01 2010 12:00AM
Updated: Jun 01 2010 12:00AM
Credit: Evan Broder とAnders Kaseorg of Ksplice, Inc.
CVE: CVE-2010-1646
Remote: No
Local: Yes
Published: Jun 01 2010 12:00AM
Updated: Jun 01 2010 12:00AM
Credit: Evan Broder とAnders Kaseorg of Ksplice, Inc.
リファレンス↓
http://sudo.ws/sudo/alerts/secure_path.html
http://www.securityfocus.com/bid/40538/info
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1646
http://www.vuxml.org/freebsd/d42e5b66-6ea0-11df-9c8d-00e0815b8da8.html
http://secunia.com/advisories/40002
http://www.securityfocus.com/bid/40538/info
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1646
http://www.vuxml.org/freebsd/d42e5b66-6ea0-11df-9c8d-00e0815b8da8.html
http://secunia.com/advisories/40002
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター
0 件のコメント:
コメントを投稿