Vendor Status Note JVNCIAC-Q-107

sudo に環境変数をプログラムに渡してしまう脆弱性

概要

sudo には、Perl や Python などのスクリプト言語のファイル検索パスを指定する環境変数を sudo 経由で実行するプログラムにそのまま渡してしまう脆弱性があります。

想定される影響

ローカルユーザが root 権限を取得する可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian Security Advisory DSA-946
sudo -- missing input sanitising
SudoPerl scripts run via Sudo can be subverted
参考情報

  1. ISS X-Force Database: sudo-perl-execute-code(23102)
    Debian sudo perl variables allow execution of arbitrary code
  2. ISS X-Force Database: visualstudio-usercontrol-code-execution(24116)
    Microsoft Visual Studio UserControl.Load code execution
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2006-0301 ( 2006-01-25 )
CIAC BulletinQ-107 sudo Vulnerabilities ( 2006-01-20 )
CVE2005-4158 [CVE+] XF23102
2006-0151 [CVE+] XF24116
PGP署名JVNCIAC-Q-107.html.sig
登録日1:10 2006/01/31
更新日1:10 2006/01/31

Copyright(C) 2002-2009 Keio Univ. All rights reserved.