sudo-1.8.6p3-25.AXS4
エラータID: AXSA:2016-1156:02
リリース日:
2016/12/06 Tuesday - 19:02
題名:
sudo-1.8.6p3-25.AXS4
影響のあるチャネル:
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- Sudo の sudo_noexec.so には,(1) system あるいは (2) popen 関数を呼び
出すアプリケーションによって,ローカルのユーザが noexec コマンド制限を
回避する脆弱性があります。(CVE-2016-7032)
- sudo には ユーザが提供した引数で wordexp() C ライブラリ関数
を実行する sudo 経由でアプリケーションを実行する場合,sudo noexec
制限で迂回する問題があり,ローカルのユーザがそのようなアプリケーションを
sudo noexec 制限経由で実行することで,権限上昇した状態で任意のコマンドを
実行する可能性のある脆弱性があります。 (CVE-2016-7076)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2016-7032
sudo_noexec.so in Sudo before 1.8.15 on Linux might allow local users to bypass intended noexec command restrictions via an application that calls the (1) system or (2) popen function.
sudo_noexec.so in Sudo before 1.8.15 on Linux might allow local users to bypass intended noexec command restrictions via an application that calls the (1) system or (2) popen function.
CVE-2016-7076
sudo before version 1.8.18p1 is vulnerable to a bypass in the sudo noexec restriction if application run via sudo executed wordexp() C library function with a user supplied argument. A local user permitted to run such application via sudo with noexec restriction could possibly use this flaw to execute arbitrary commands with elevated privileges.
sudo before version 1.8.18p1 is vulnerable to a bypass in the sudo noexec restriction if application run via sudo executed wordexp() C library function with a user supplied argument. A local user permitted to run such application via sudo with noexec restriction could possibly use this flaw to execute arbitrary commands with elevated privileges.
追加情報:
N/A
ダウンロード:
SRPMS
- sudo-1.8.6p3-25.AXS4.src.rpm
MD5: 4c011bb1973483826e14fb50baf4a794
SHA-256: 86c5bcb396766e6be01c749fec09d2ecd73b6a862992a01d32198c790598aa52
Size: 1.86 MB
Asianux Server 4 for x86
- sudo-1.8.6p3-25.AXS4.i686.rpm
MD5: f8282677edbe6e836d0efeb40777ce6d
SHA-256: 958eb0bb65146396887c8d78ca350aeb76438e02499c198c00c9c46b093b1545
Size: 702.14 kB
Asianux Server 4 for x86_64
- sudo-1.8.6p3-25.AXS4.x86_64.rpm
MD5: 41c675a8d1a6a54b2288b7dae1304354
SHA-256: c667a765c5379f7dcbd3b07cf6a0e1740ceac66363331633b05cac2ef2053527
Size: 708.89 kB