Inicio / Alerta Temprana / Avisos Seguridad / Procesamiento incorrecto de variable de entorno en sudo

Procesamiento incorrecto de variable de entorno en sudo

Fecha de publicación: 
23/02/2015
Importancia: 
3 - Media
Recursos afectados: 

Potencialmente, cualquier sistema que utilice sudo.

Descripción: 

Jakub Wilk ha reportado una vulnerabilidad en sudo que podría permitir la explotación de bugs en funciones C o abrir ficheros a los que previamente no se tendría acceso.

Solución: 

Actualizar el paquete sudo. En Debian Wheezy, la vulnerabilidad ha sido resuelta en la versión 1.8.5p2-1+nmu2 del mismo.

Detalle: 

La vulnerabilidad es debida a que sudo mantiene la variable de entorno TZ sin sanear. Un usuario con acceso a sudo podría aprovechar este fallo para explotar bugs en la librería C que procesa la variable TZ. La vulnerabilidad también podría permitir abrir ficheros a los que inicialmente no se tendría acceso, lo cual podría utilizarse a su vez para alterar el comportamiento del sistema, incluso bloqueando el programa que ejecuta sudo.

Se ha reservado el identificador CVE-2014-9680 para esta vulnerabilidad.