您查看的文章来源于http://www.oklinux.cn
Todd Miller Sudo Runas_Alias组本地权限提升漏洞
发布日期:2009-01-29
更新日期:2009-02-18
受影响系统:
Todd Miller Sudo 1.6.9p17 - 1.6.9p19
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 33517
CVE(CAN) ID: CVE-2009-0034
Sudo是一款允许用户以其他用户权限安全地执行命令的程序,广泛使用在Linux和Unix操作系统下。
sudo在确认用户属于哪个组的时候sudo中的parse.c文件没有正确地解释sudoer配置文件中的系统组(也被称为%group),本地用户可以利用run-as-user-in-group功能无需口令认证便以root用户权限执行sudo命令。
建议:
--------------------------------------------------------------------------------
厂商补丁:
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2009:0267-01)以及相应补丁:
RHSA-2009:0267-01:Moderate: sudo security update
链接:http://www.redhat.com/support/errata/RHSA-2009-0267.html
