dedie
| Zitat: |
Durch eine Sicherheitslücke in sudo können Nutzer mit eingeschränkten Rechten unerlaubt Code mit Root-Rechten ausführen. Das kann dort zum Problem werden, wo sich mehrere Nutzer ein System teilen.
Die Funktion sudo_debug() ist anfällig für einen sogenannten Formatstring-Angriff: Benutzereingaben werden nicht ausreichend gefiltert und als Teil eines Funktionsaufrufs (vfprintf) genutzt. Gelingt es dem Angreifer, den Parameter %n einzuschleusen, kann er beliebige Stellen des Speichers beschreiben, um sich etwa Admin-Rechte zu verschaffen. Verwundbar sind die sudo-Versionen 1.8.0 bis 1.8.3p1. Abhilfe schafft ein Update auf die aktuelle Version 1.8.3p2.
|
|
Weitere Infos so wie die Quelle