sudo-1.9.5p2-7.el9.1

エラータID: AXSA:2023-4872:03

リリース日: 
2023/01/27 Friday - 12:44
題名: 
sudo-1.9.5p2-7.el9.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Sudo には、sudoedit コマンドが利用する環境変数の扱いに問題があるため、
ローカルの攻撃者により、RunAs ユーザーの権限を介して、任意のファイル
書き込みおよび特権昇格を可能とする脆弱性が存在します。(CVE-2023-22809)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-22809
In Sudo before 1.9.12p2, the sudoedit (aka -e) feature mishandles extra arguments passed in the user-provided environment variables (SUDO_EDITOR, VISUAL, and EDITOR), allowing a local attacker to append arbitrary entries to the list of files to process. This can lead to privilege escalation. Affected versions are 1.8.0 through 1.9.12.p1. The problem exists because a user-specified editor may contain a "--" argument that defeats a protection mechanism, e.g., an EDITOR='vim -- /path/to/extra/file' value.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. sudo-1.9.5p2-7.el9.1.src.rpm
    MD5: 895053b943777285ffd7a157241dbc3c
    SHA-256: f351eaa47b1c1ba984d4e7edaedb01a9f81ae252501d26ed9e17460b59549298
    Size: 3.86 MB

Asianux Server 9 for x86_64
  1. sudo-1.9.5p2-7.el9.1.x86_64.rpm
    MD5: ba4b99fe4ee6b029a94808e8a0023cee
    SHA-256: cdfff52255d9d7c08908d801212f81f5bc0ce7c785484d026528b786ce8bd685
    Size: 1.02 MB
  2. sudo-python-plugin-1.9.5p2-7.el9.1.x86_64.rpm
    MD5: 091118695d8a9f16811560521cb3df47
    SHA-256: 847bb576f35acb19fcef7e80c5fb74700fed84f5ec79fff25e6e76fb7f7ee952
    Size: 53.40 kB