sudo-1.8.25p1-8.el8.1
エラータID: AXSA:2020-117:04
リリース日:
2020/06/09 Tuesday - 06:56
題名:
sudo-1.8.25p1-8.el8.1
影響のあるチャネル:
Asianux Server 8 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- sudo には、/etc/sudoers 内の pwfeedback を enabled に設定すると、
攻撃者が特権のある sudo プロセスで tgetpass.c 内にある getln() 関数
の標準入力に長い文字列を渡すことで、ユーザがスタックベースの
バッファオーバーフローを引き起こすことができる脆弱性があります。
pwfeedback は 管理者によって enabled に設定された場合のみ存在します。
(CVE-2019-18634)
一部 CVE の翻訳文は JVN からの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2019-18634
In Sudo before 1.8.26, if pwfeedback is enabled in /etc/sudoers, users can trigger a stack-based buffer overflow in the privileged sudo process. (pwfeedback is a default setting in Linux Mint and elementary OS; however, it is NOT the default for upstream and many other packages, and would exist only if enabled by an administrator.) The attacker needs to deliver a long string to the stdin of getln() in tgetpass.c.
In Sudo before 1.8.26, if pwfeedback is enabled in /etc/sudoers, users can trigger a stack-based buffer overflow in the privileged sudo process. (pwfeedback is a default setting in Linux Mint and elementary OS; however, it is NOT the default for upstream and many other packages, and would exist only if enabled by an administrator.) The attacker needs to deliver a long string to the stdin of getln() in tgetpass.c.
追加情報:
N/A
ダウンロード:
SRPMS
- sudo-1.8.25p1-8.el8.1.src.rpm
MD5: 92e2c29c6e3ea92f0f7b7ed4070c9652
SHA-256: c6eaf1a3ba12ba6b0a161262233030d131169df86c8d71a125622fc216f9c1a7
Size: 3.11 MB
Asianux Server 8 for x86_64
- sudo-1.8.25p1-8.el8.1.x86_64.rpm
MD5: d56625876aa977b68e15c6a25ddec9a3
SHA-256: fb7a9fa69a41f141eec7c73cef677769035bde2ea363b486039a2cdc74c9cdd8
Size: 874.05 kB
English