Sicherheitsloch in sudo
Die Version 1.6.8p9 von sudo behebt ein Sicherheitsloch, wodurch lokale Nutzer beliebige Befehle ausführen können.
Die Version 1.6.8p9 von sudo behebt ein Sicherheitsloch, wodurch lokale Nutzer beliebige Befehle ausführen können. Es handelt sich um die gleiche Lücke, die das OpenBSD-Team bereits am Samstag behoben hat. Durch einen Fehler im Code können Race-Conditions entstehen, wenn der Pseudo-Befehl "ALL" hinter restriktiveren Nutzereinträgen in der sudoers-Datei steht. Dadurch können sudoer, die eigentlich nur bestimmte Kommandos nutzen dürfen, beliebige Befehle ausführen.
Als Workaround können Administratoren die Einträge der sudoer-Datei so anordnen, dass alle Einträge, die Rechte auf "ALL" gewähren, vor den eingeschränkten Einträgen stehen. In der Version 1.6.8p9 ist der Fehler behoben.
Siehe dazu auch: (pab)
- Advisory von www.sudo.ws
- Advisory von Gentoo
- Fehler-und Patchliste von OpenBSD
