Todd Miller Sudo Host_List本地特权提升漏洞

CVE编号

CVE-2012-2337

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-05-19

漏洞描述

Sudo是一款允许用户以其他用户权限安全地执行命令的程序，广泛使用在Linux和Unix操作系统下。Sudo授权特定主机访问存在一个安全缺陷，当Sudo的Host / Host_List配置中使用多个网络掩码值时，这样的配置允许sudoers文件授权的非特权用户无视Host_List配置，从任意主机上运行sudo命令。

解决建议

Todd Miller Sudo 1.8.4p5和1.7.9p1已经修复此漏洞，建议用户下载使用：http://www.sudo.ws/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2012-May/081432.html
http://secunia.com/advisories/49219
http://secunia.com/advisories/49244
http://secunia.com/advisories/49291
http://secunia.com/advisories/49948
http://www.debian.org/security/2012/dsa-2478
http://www.mandriva.com/security/advisories?name=MDVSA-2012:079
http://www.securitytracker.com/id?1027077
http://www.sudo.ws/sudo/alerts/netmask.html
https://bugzilla.redhat.com/show_bug.cgi?id=820677
https://www.suse.com/security/cve/CVE-2012-2337/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	todd_miller	sudo	1.6	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.1	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.2	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.2p3	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.3	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.3_p7	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.4	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.4p2	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.5	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.6	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.7	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.7p5	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.8	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.8p12	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.9	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.9p20	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.9p21	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.9p22	-
	运行在以下环境
	应用	todd_miller	sudo	1.6.9p23	-
	运行在以下环境
	系统	redhat_6	sudo	*		Up to (excluding) 0:1.7.2p1-14.el5_8
	运行在以下环境
	系统	suse_12	sudo	*		Up to (excluding) 1.8.10p3-1
	运行在以下环境
	系统	ubuntu_12.04_lts	sudo	*		Up to (excluding) 1.8.3p1-1ubuntu3.2

阿里云评分 3.1

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制