DFN-CERT-2016-1775 sudo: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Administratorrechten

DFN-CERT-2016-1775 sudo: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Administratorrechten

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 10 (28.09.20):
Für Ubuntu 14.04 ESM steht ein Sicherheitsupdate für sudo zur Verfügung,
mit dem die beiden Schwachstellen behoben werden.
Version 9 (07.12.16):
Oracle stellt für Oracle Linux 6 und 7 sowie Oracle VM Server 3.3 und 3.4
Sicherheitsupdates für sudo bereit.
Version 8 (06.12.16):
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop,
Server, HPC Node und Workstation sowie für Server TUS 7.3
Sicherheitsupdates für sudo bereit.
Version 7 (05.12.16):
Für openSUSE Leap 42.1 steht ein Backport-Sicherheitsupdate bereit,
welches zusätzlich die Schwachstelle CVE-2014-9680 adressiert. Diese
ältere Schwachstelle ermöglicht es einem lokalen, nicht authentifizierten
Angreifer, einen Denial-of-Service-Zustand herbeizuführen.
Version 6 (05.12.16):
Für openSUSE Leap 42.2 steht ein Backport-Sicherheitsupdate bereit,
welches zusätzlich die Schwachstelle CVE-2014-9680 adressiert. Diese
ältere Schwachstelle ermöglicht es einem lokalen, nicht authentifizierten
Angreifer, einen Denial-of-Service-Zustand herbeizuführen.
Version 5 (25.11.16):
Für die SUSE Linux Enterprise 12 SP1 Produkte Server, Desktop und Software
Development Kit stehen Sicherheitsupdates bereit, welche zusätzlich die
Schwachstelle CVE-2014-9680 adressieren. Diese ältere Schwachstelle
ermöglicht einem lokalen, nicht authentifizierten Angreifer einen Denial-
of-Service-Zustand herbeizuführen.
Version 4 (24.11.16):
Für die SUSE Linux Enterprise Produkte Server 11 SP4 und 12 SP2, Server
for Rasperry Pi 12 SP2, Debuginfo 11 SP4, Desktop 12 SP2 sowie für
Software Development Kit 12 SP2 stehen Sicherheitsupdates bereit, um die
Schwachstellen zu beheben.
Version 3 (23.11.16):
Für openSUSE 13.2 steht ein Sicherheitsupdate bereit, um die
Schwachstellen zu beheben.
Version 2 (10.11.16):
Für Fedora 23, 24 und 25 stehen Sicherheitsupdates für sudo auf Version
1.8.18p1 im Status ‘testing’ bereit. Die Schwachstelle CVE-2016-7032 wurde
bereits durch ein früheres Sicherheitsupdate auf Version 1.8.15 behoben,
dort aber nicht erwähnt.
Version 1 (28.10.16):
Neues Advisory

Zwei Schwachstellen in sudo bis Version 1.8.18 ermöglichen einem lokalen
Angreifer mit erweiterten Benutzerrechten das Ausführen beliebigen
Programmcodes mit Administratorrechten.

Das Projekt-Team stellt die Version 1.8.18p1 als Sicherheitsupdate zur
Verfügung, um die beiden Schwachstellen zu schließen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2016-1775]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben