—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-0426 – Schwachstelle in sudo
Sudo vor den Versionen 1.6.9p21 bzw. 1.7.2p4 erlaubt ein
“pseudo-command” anzulegen, das durch sudo ausgefuehrt wird. Existiert
eine ausfuehrbare Datei, die den gleichen Namen wie das
“pseudo-command” hat, in einem beliebigen Verzeichnis, kann diese
anstelle des “pseudo-command” zur Ausfuehrung gebracht werden. Ein
lokaler Angreifer kann diese Schwachstelle ausnutzen um beliebige
Befehle mit root-Rechten zur Ausfuehrung zu bringen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket sudo
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-May/040578.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-May/040588.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-6749
2010-04-16 23:17:38
– ——————————————————————————–
Name : sudo
Product : Fedora 11
Version : 1.7.2p6
Release : 1.fc11
URL : http://www.courtesan.com/sudo/
Summary : Allows restricted root access for specified users
Description :
Sudo (superuser do) allows a system administrator to give certain
users (or groups of users) the ability to run some (or all) commands
as root while logging all commands and arguments. Sudo operates on a
per-command basis. It is not a replacement for the shell. Features
include: the ability to restrict what commands a user may run on a
per-host basis, copious logging of each command (providing a clear
audit trail of who did what), a configurable timeout of the sudo
command, and the ability to use the same configuration file (sudoers)
on many different machines.
– ——————————————————————————–
Update Information:
– – update to new upstream version – merged .audit and .libaudit patch – added
sudoers.ldap.5* to files – http://sudo.ws/sudo/alerts/sudoedit_escalate2.html
– ——————————————————————————–
ChangeLog:
* Wed Apr 14 2010 Daniel Kopecek
– – update to new upstream version
– – merged .audit and .libaudit patch
– – added sudoers.ldap.5* to files
* Mon Mar 1 2010 Daniel Kopecek
– – update to new upstream version
– – backport changes from F-12
* Thu Jul 9 2009 Daniel Kopecek
– – moved the closefrom() call before audit_help_open() (sudo-1.7.1-auditfix.patch)
* Wed Jul 8 2009 Daniel Kopecek
– – epoch number sync
* Mon Jun 22 2009 Daniel Kopecek
– – fixed small bug in configure.in (sudo-1.7.1-conffix.patch)
– – sudo-1.7.1-audit.patch rediff because of missing code
* Tue May 12 2009 Daniel Kopecek
– – updated sudo to version 1.7.1
– ——————————————————————————–
References:
[ 1 ] Bug #580441 – sudo: incomplete fix for the sudoedit privilege escalation issue CVE-2010-0426
https://bugzilla.redhat.com/show_bug.cgi?id=580441
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update sudo’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFL4AkyWmhIvjFb90URApF7AJ4k4XmLWMYV10T4Z0SfWSICqvaH1gCbBAcW
VfgrqWyvaPcrBfpVeCw7D38=
=Ocui
—–END PGP SIGNATURE—–
