sudo-1.7.2p1-6.AXS3
エラータID: AXSA:2010-243:03
リリース日:
2010/04/22 Thursday - 19:39
題名:
sudo-1.7.2p1-6.AXS3
影響のあるチャネル:
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- カレントのワーキングディレクトリのファイルが sudoer ファイルの pseudo-command と同じ名前で, PATH が "." の項目を含む場合, sudo の コマンドマッチング機能が適切に処理しておらず,トロイの木馬の実行ファイルによってローカルのユーザが任意のコマンドを実行する脆弱性があります。(CVE-2010-1163)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2010-1163
The command matching functionality in sudo 1.6.8 through 1.7.2p5 does not properly handle when a file in the current working directory has the same name as a pseudo-command in the sudoers file and the PATH contains an entry for ".", which allows local users to execute arbitrary commands via a Trojan horse executable, as demonstrated using sudoedit, a different vulnerability than CVE-2010-0426.
The command matching functionality in sudo 1.6.8 through 1.7.2p5 does not properly handle when a file in the current working directory has the same name as a pseudo-command in the sudoers file and the PATH contains an entry for ".", which allows local users to execute arbitrary commands via a Trojan horse executable, as demonstrated using sudoedit, a different vulnerability than CVE-2010-0426.
追加情報:
N/A
ダウンロード:
SRPMS
- sudo-1.7.2p1-6.AXS3.src.rpm
MD5: d951734866aaa6e4b72c5b5b2f284e00
SHA-256: 97539df427a00eadf127269477267224801e5aceb1351e7bb9cb8cd181422080
Size: 785.59 kB
Asianux Server 3 for x86
- sudo-1.7.2p1-6.AXS3.i386.rpm
MD5: acaaa2548b78df5999bea30bde5834aa
SHA-256: a3c48610bf190d7e2569a6ff67247f38fb326b122b987b3ac5611ce071970a08
Size: 230.31 kB
Asianux Server 3 for x86_64
- sudo-1.7.2p1-6.AXS3.x86_64.rpm
MD5: c798a7ca2f5b5f79ade242f55a235fc7
SHA-256: f428f9458eb5dcee64ed82c168c2947c4aa199571aafcd47c44fe7b87155411f
Size: 236.27 kB