Risque
Exécution de commandes arbitraires par des utilisateurs locaux.
Systèmes affectés
Toutes les versions de sudo antérieures à la version 1.6.8p12.
Description
L'utilitaire sudo permet d'accorder des droits d'administration à des utilisateurs non privilégiés du système.
Une vulnérabilité de sudo dans la gestion des variables d'environnement PERLLIB, PERL5LIB et PERL5OPT permet à un utilisateur local d'exécuter des commandes arbitraires.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de sudo :
http://www.sudo.ws
- Bulletin de sécurité sudo :
http://www.sudo.ws/sudo/alerts/perl_env.html
- Bulletin de sécurité Mandriva MDKSA-2005:234 du 20 décembre 2005 :
http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:234
- Bulletin de sécurité Debian DSA-946 du 20 janvier 2006 :
http://www.debian.org/security/2006/dsa-946
- Bulletin de sécurité SUSE SUSE-SR:2006:002 du 20 janvier 2006 :
http://www.novell.com/linux/security/advisories/2006o_02_sr.html
- Référence CVE CAN-2005-4158 :
https://www.cve.org/CVERecord?id=CAN-2005-4158