Debian DLA-382-1：sudo セキュリティ更新

high Nessus プラグイン ID 87826

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

sudo がユーザーに、sudo を使用せず書き込めるディレクトリ下のファイルの編集を許可するよう構成されている場合、ユーザーは実際には任意のファイルの編集（読み取りおよび書き込み）ができます。Daniel Svartman 氏が、編集可能なファイルが次のようにワイルドカードを使用して特定されている場合、このような構成が意図せず導入される可能性があると報告しました。

operator ALL=(root) sudoedit /home/*/*/test.txt

sudo のデフォルトの動作が変更されたため、ユーザーが書き込める、またはユーザーが書き込めるディレクトリのシンボリックリンクに従うことで到達可能なディレクトリのファイルの編集はできなくなりました。これらの制限は無効化することも可能ですが、推奨されません。

旧安定版（oldstable）ディストリビューション（squeeze）では、これはバージョン 1.7.4p4-2.squeeze.6 で修正されました。

旧安定板（oldstable）ディストリビューション（wheezy）および安定板（stable）ディストリビューション（jessie）では、これは間もなく修正されます。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。