Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-103

[Generic/sudo] Schwachstelle in sudo - neue Version 1.6.3p6 verfügbar
(2001-02-27 19:11:33+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/02/msg00437.html

Todd Miller, Maintainer des Dienstprogrammes sudo, gab das Erscheinen der Version 1.6.3p6 bekannt, die als Reaktion auf das Bekanntwerden eines buffer overflow bug im Code herausgegeben wurde.

Betroffene Systeme

  • sudo vor Version 1.6.3p6 auf den meisten UNIX-Plattformen (BSD-, SysV- oder POSIX-Systeme und deren Derivate)

Typ der Verwundbarkeit
buffer overflow bug

Beschreibung
Sudo ist ein populäres Werkzeug, das auf UNIX-Plattformen dazu eingestetzt wird, um Benutzern Privilegien auf eine sehr viel differenziertere Weise zu gewähren, als dies das UNIX-Rechtekonzept zuläßt. Die Philosophie besteht darin, daß soviele Privilegien wie nötig aber so wenig wie möglich erteilt werden können. Mittels sudo kann der Administrator Benutzern die Möglichkeit geben, Kommandos unter der UID root oder einer anderen UID auszuführen. Ein SETUID-Bit für das auszuführende Kommando ist dabei nicht nötig. Sudo loggt außerdem alle Aktivitäten, die ein Benutzer mit den durch das Programm gewährten Rechten durchführt.

Durch eine fehlerhafte Bearbeitung von Logmessages könnten sorgfältig formulierte Parameter, die sudo übergeben werden, dazu führen, daß beliebiger Code unberechtigt mit root-Rechten ausgeführt wird.

Gefahrenpotential
hoch
Offenbar existieren noch keine exploits für dieses Problem. Das Schwachstelle ist - wenn überhaupt - nur mit sehr guten Systemkenntnissen ausnutzbar, könnte aber zu einem local root exploit genutzt werden.

Gegenmaßnahmen
Eine gegen dieses Problem nicht mehr verwundbare Version ist verfügbar:

beziehungsweise ein Patch:

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.