Procesamiento incorrecto de variable de entorno en sudo

Fecha de publicación:

23/02/2015

Importancia:

3 - Media

Recursos afectados:

Potencialmente, cualquier sistema que utilice sudo.

Descripción:

Jakub Wilk ha reportado una vulnerabilidad en sudo que podría permitir la explotación de bugs en funciones C o abrir ficheros a los que previamente no se tendría acceso.

Solución:

Actualizar el paquete sudo. En Debian Wheezy, la vulnerabilidad ha sido resuelta en la versión 1.8.5p2-1+nmu2 del mismo.

Detalle:

La vulnerabilidad es debida a que sudo mantiene la variable de entorno TZ sin sanear. Un usuario con acceso a sudo podría aprovechar este fallo para explotar bugs en la librería C que procesa la variable TZ. La vulnerabilidad también podría permitir abrir ficheros a los que inicialmente no se tendría acceso, lo cual podría utilizarse a su vez para alterar el comportamiento del sistema, incluso bloqueando el programa que ejecuta sudo.

Se ha reservado el identificador CVE-2014-9680 para esta vulnerabilidad.

Referencias:

DSA-3167-1 sudo -- security update

Bug 1191144 - (CVE-2014-9680) CVE-2014-9680 sudo: unsafe handling of TZ environment variable

Etiquetas:

Vulnerabilidad

Linux

Accesos corporativos

Procesamiento incorrecto de variable de entorno en sudo

Múltiples vulnerabilidades en Zimbra Collaboration Suite (ZCS)

Múltiples vulnerabilidades en productos de Intel

Vulnerabilidad en Citrix Hypervisor

Actualización de seguridad de SAP de agosto de 2022

Múltiples vulnerabilidades en VMware vRealize Operations