sudo-1.8.6p7-21.el7

エラータID: AXSA:2016-1155:03

リリース日: 
2016/12/06 Tuesday - 18:51
題名: 
sudo-1.8.6p7-21.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Sudo の sudo_noexec.so には,(1) system あるいは (2) popen 関数を呼び
出すアプリケーションによって,ローカルのユーザが noexec コマンド制限を
回避する脆弱性があります。(CVE-2016-7032)

- sudo には ユーザが提供した引数で wordexp() C ライブラリ関数
を実行する sudo 経由でアプリケーションを実行する場合,sudo noexec
制限で迂回する問題があり,ローカルのユーザがそのようなアプリケーションを
sudo noexec 制限経由で実行することで,権限上昇した状態で任意のコマンドを
実行する可能性のある脆弱性があります。 (CVE-2016-7076)
CVE の情報が公開され次第情報をアップデートいたします。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2016-7032
sudo_noexec.so in Sudo before 1.8.15 on Linux might allow local users to bypass intended noexec command restrictions via an application that calls the (1) system or (2) popen function.
CVE-2016-7076
sudo before version 1.8.18p1 is vulnerable to a bypass in the sudo noexec restriction if application run via sudo executed wordexp() C library function with a user supplied argument. A local user permitted to run such application via sudo with noexec restriction could possibly use this flaw to execute arbitrary commands with elevated privileges.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. sudo-1.8.6p7-21.el7.src.rpm
    MD5: 7bdbd0c8afe3f3b3c9bd75badbe26a52
    SHA-256: 4d66474132174facb87fec28a632c64ed623ef53c2e2a85d7784f27e41139411
    Size: 1.96 MB

Asianux Server 7 for x86_64
  1. sudo-1.8.6p7-21.el7.x86_64.rpm
    MD5: bb114e6930a1171ad3cb546e87014234
    SHA-256: a08b94e1582881c7a5a3fab8498968e667e8eb4cf955c51506307fc4e81c1ae3
    Size: 733.82 kB