sudo-1.7.4p5-12.AXS4

エラータID: AXSA:2012-755:02

リリース日: 
2012/08/20 Monday - 20:17
題名: 
sudo-1.7.4p5-12.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86
Asianux Server 4 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]

- sudo には /var/tmp/nsswitch.conf.bak テンポラリファイルのシンボリックファイル攻撃によって,ローカルのユーザが任意のファイルを上書きしてしまう脆弱性があります。(CVE-2012-3440)
[Bug Fix]
- sudo は "sudo -s" あるいは "sudo -" で誤った位置で用いた非アルファベットの文字をエスケープし,認証のプロセスを邪魔してしまう問題を修正しました。
- SELinux が sudo パッケージのインストールやアップグレード中に "/etc/nsswitch.conf" ファイルのコンテクストを変更してしまい,さまざまなサービスが SELinux によって制限され,そのファイルへのアクセスが許可されない問題を修正しました。
- sudo が SIGCHILD シグナルをブロックしたプロセスから実行された場合,SIGCHILD シグナルを受け取るのに失敗し,sudo がサスペンドしてしまい,終了するのに失敗してしまう問題を修正しました。
- sudo パッケージをアップデートすると,"/etc/nsswitch.conf" の "sudoers" 行を削除してしまう問題を修正しました。
- sudo には競合が存在し,プログラムを sudo とともに実行した場合,プログラムが終了した後にゾンビ状態で残ってしまい,sudo がプログラムの終了を永遠に待ち続ける問題を修正しました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-2337
sudo 1.6.x and 1.7.x before 1.7.9p1, and 1.8.x before 1.8.4p5, does not properly support configurations that use a netmask syntax, which allows local users to bypass intended command restrictions in opportunistic circumstances by executing a command on a host that has an IPv4 address.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. sudo-1.7.4p5-12.AXS4.src.rpm
    MD5: 6fd4adfef5e938d8bd77f780575d34eb
    SHA-256: bb3c3e180cf5d986d246fcf89292063d96abf763b5f4d9a66fe324a1de534a8a
    Size: 0.98 MB

Asianux Server 4 for x86
  1. sudo-1.7.4p5-12.AXS4.i686.rpm
    MD5: 1e4a4310b5b424798cd3de09b3e47497
    SHA-256: 3f3431a28876c3551bc4e8bb092a314a1e884e415dfda36d933f9203aa32910e
    Size: 418.62 kB

Asianux Server 4 for x86_64
  1. sudo-1.7.4p5-12.AXS4.x86_64.rpm
    MD5: 1094bf09611f8d6c47cc620d171ce84a
    SHA-256: 73d52b9dfba0078abfe35353d9884671f8798e9de14bb70abb7745d0d9a0794b
    Size: 422.37 kB