漏洞信息详情
Sudo命令权限提升漏洞
- CNNVD编号:CNNVD-201002-266 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2010-0427
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2010-02-25
- 威胁类型: 本地
- 更新时间: 2010-02-25
- 厂 商: todd_miller
- 漏洞来源:
-
漏洞简介
Sudo是软件开发者Todd C. Miller所研发的一套用于类Unix操作系统下并允许用户通过安全的方式使用特殊的权限执行命令的程序。
Sudo中的runas_default选项使用时存在权限漏洞,由于没有合适的设置组成员管理,sudo存在权限提高漏洞。本地用户可以借助sudo命令,获取特权。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
ftp://ftp.sudo.ws/pub/sudo/sudo-1.6.9p21.patch.gz
参考网址
来源: ftp.sudo.ws
链接:ftp://ftp.sudo.ws/pub/sudo/sudo-1.6.9p21.patch.gz
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=567622
来源: www.sudo.ws
链接:http://www.sudo.ws/cgi-bin/cvsweb/sudo/set_perms.c.diff?r1=1.30.2.7&r2=1.30.2.8
来源: MLIST
名称: [oss-security] 20100224 Re: CVE assignment notification -- CVE-2010-0427 -- sudo fails to reset group permissions if runas_default set
链接:http://www.openwall.com/lists/oss-security/2010/02/24/5
来源: MLIST
名称: [oss-security] 20100223 CVE assignment notification -- CVE-2010-0427 -- sudo fails to reset group permissions if runas_default set
链接:http://www.openwall.com/lists/oss-security/2010/02/23/4
来源: www.gratisoft.us
链接:http://www.gratisoft.us/bugzilla/show_bug.cgi?id=349
来源: www.gratisoft.us
链接:http://www.gratisoft.us/bugzilla/attachment.cgi?id=255
来源: sudo.ws
链接:http://sudo.ws/repos/sudo/rev/aa0b6c01c462
受影响实体
- Todd_miller Sudo:1.6.3_p1<!--2000-1-1-->
- Todd_miller Sudo:1.6.3_p2<!--2000-1-1-->
- Todd_miller Sudo:1.6.3_p3<!--2000-1-1-->
- Todd_miller Sudo:1.6.3_p4<!--2000-1-1-->
- Todd_miller Sudo:1.6.3_p5<!--2000-1-1-->
补丁
- sudo-1.6.9p21.patch<!---->
还没有评论,来说两句吧...