Vendor Status Note JVNCIAC-P-037

sudo の脆弱性

概要

sudo バージョン 1.6.8p1 およびそれ以前には、環境のクリア処理に脆弱性があります。

想定される影響

ローカルユーザが bash スクリプトを経由して root 権限を取得する可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian Security Advisory DSA-596
sudo -- missing input sanitising
ミラクル・リナックスアップデート情報 sudo セキュリティ sudo で実行される bash スクリプトが任意のコマンド実行可能となる脆弱性
SudoBash scripts run via Sudo can be subverted
参考情報

  1. CIAC Bulletin P-037
    Sudo Environment Cleaning Vulnerability
  2. CIAC Bulletin P-042
    Sudo Missing Input Santising
  3. ISS X-Force Database: sudo-bash-command-execution(18055)
    Sudo bash command execution
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-4601 ( 2004-11-25 )
JPCERT-WR-2004-4701 ( 2004-12-01 )
CIAC BulletinP-037 Sudo Environment Cleaning Vulnerability ( 2004-11-15 )
CVE2004-1051 [CVE+] XF18055
PGP署名JVNCIAC-P-037.html.sig
登録日13:50 2004/11/28
更新日14:03 2004/12/04

Copyright(C) 2002-2009 Keio Univ. All rights reserved.