水曜日, 9月 08, 2010

「sudo」のsudoersグルップ設定の問題(CVE-2010-2956)


本件セキュリティ問題について下記のsudoパッケージバーションに影響があります。
Sudoバーション1.7.0 からバーション1.7.4p3迄

影響されたOS↓
Ubuntu Linux 9.10
RedHat Enterprise Linux Desktop 5 client
RedHat Enterprise Linux 5 server

問題の説明↓
sudoのバグがあり、sudoersファイルに設定されたsudoersユーザにはroot権限を取れます。詰り、下記のsudoers設定ですと…
millert ALL = (lp : operator) /usr/bin/lpq, /usr/bin/lprm, /usr/bin/lpc

下記のコマンドを実行されます
$ sudo -g operator -u root /usr/bin/lpq

追加セキュリティ問題登録情報↓
BID: 43019
Class: Design Error
CVE: CVE-2010-2956
Remote: No
Local: Yes
Published: Sep 07 2010 12:00AM
Updated: Sep 07 2010 04:22PM
Checked: Sep 08 2010 14:42PM JST
Credit: Markus Wuethrich

解決方法↓
sudo 1.7.4p4をアップグレードして下さい。

リファレンス↓


---
unixfreaxjp
http://0day.jp

0 件のコメント:

コメントを投稿