本件セキュリティ問題について下記のsudoパッケージバーションに影響があります。
Sudoバーション1.7.0 からバーション1.7.4p3迄
影響されたOS↓
Ubuntu Linux 9.10
RedHat Enterprise Linux Desktop 5 client
RedHat Enterprise Linux 5 server
影響されたOS↓
Ubuntu Linux 9.10
RedHat Enterprise Linux Desktop 5 client
RedHat Enterprise Linux 5 server
問題の説明↓
sudoのバグがあり、sudoersファイルに設定されたsudoersユーザにはroot権限を取れます。詰り、下記のsudoers設定ですと…
下記のコマンドを実行されます
millert ALL = (lp : operator) /usr/bin/lpq, /usr/bin/lprm, /usr/bin/lpc
下記のコマンドを実行されます
$ sudo -g operator -u root /usr/bin/lpq
追加セキュリティ問題登録情報↓
BID: 43019
Class: Design Error
CVE: CVE-2010-2956
Remote: No
Local: Yes
Published: Sep 07 2010 12:00AM
Updated: Sep 07 2010 04:22PM
Checked: Sep 08 2010 14:42PM JST
Credit: Markus Wuethrich
Class: Design Error
CVE: CVE-2010-2956
Remote: No
Local: Yes
Published: Sep 07 2010 12:00AM
Updated: Sep 07 2010 04:22PM
Checked: Sep 08 2010 14:42PM JST
Credit: Markus Wuethrich
解決方法↓
sudo 1.7.4p4をアップグレードして下さい。
リファレンス↓
http://www.sudo.ws/sudo/alerts/runas_group.html
http://security-tracker.debian.org/tracker/CVE-2010-2956
http://www.securityfocus.com/bid/43019/references
http://security-tracker.debian.org/tracker/CVE-2010-2956
http://www.securityfocus.com/bid/43019/references
---
unixfreaxjp
http://0day.jp
0 件のコメント:
コメントを投稿