Sudo Perl环境变量处理安全性绕过漏洞

漏洞信息详情

Sudo Perl环境变量处理安全性绕过漏洞

• CNNVD编号：CNNVD-200512-192
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2005-4158
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2005-12-10
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-12-12
  
• 厂        商：
  
  todd_miller
• 漏洞来源：
  Charles Morris is …

Sudo 1.6.8 p12之前的版本，在Perl taint旗标关闭时，不会清除(1) PERLLIB、(2) PERL5LIB和(3) PERL5OPT环境变量，有限的本地用户可以使Perl脚本包含并执行与脚本包含的程序库文件具有相同名称的任意程序库文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.sudo.ws/sudo/download.html

http://security.ubuntu.com/ubuntu/pool/main/s/sudo/sudo_1.6.7p5-1ubuntu4.4_amd64.deb

http://wwwnew.mandriva.com/en/downloads/

ftp://atualizacoes.conectiva.com.br/10/RPMS/sudo-1.6.8p9-42425U10_4cl.i386.rpm

来源: XF

名称: sudo-perl-execute-code(23102)

链接:http://xforce.iss.net/xforce/xfdb/23102

来源: www.sudo.ws

链接:http://www.sudo.ws/sudo/alerts/perl_env.html

来源: BID

名称: 15394

链接:http://www.securityfocus.com/bid/15394

来源: SECTRACK

名称: 1015192

链接:http://securitytracker.com/alerts/2005/Nov/1015192.html

来源: SECUNIA

名称: 17534

链接:http://secunia.com/advisories/17534/

来源: TRUSTIX

名称: 2006-0002

链接:http://www.trustix.org/errata/2006/0002/

来源: SUSE

名称: SUSE-SR:2006:002

链接:http://www.novell.com/linux/security/advisories/2006_02_sr.html

来源: MANDRIVA

名称: MDKSA-2006:159

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2006:159

来源: MANDRAKE

名称: MDKSA-2005:234

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2005:234

来源: VUPEN

名称: ADV-2005-2386

链接:http://www.frsirt.com/english/advisories/2005/2386

来源: DEBIAN

名称: DSA-946

链接:http://www.debian.org/security/2006/dsa-946

来源: SECUNIA

名称: 21692

链接:http://secunia.com/advisories/21692

来源: SECUNIA

名称: 18558

链接:http://secunia.com/advisories/18558

来源: SECUNIA

名称: 18549

链接:http://secunia.com/advisories/18549

来源: SECUNIA

名称: 18463

链接:http://secunia.com/advisories/18463

来源: SECUNIA

名称: 18308

链接:http://secunia.com/advisories/18308

来源: SECUNIA

名称: 18156

链接:http://secunia.com/advisories/18156

来源: SECUNIA

名称: 18102

链接:http://secunia.com/advisories/18102

来源: UBUNTU

名称: USN-235-1

链接:http://lists.ubuntu.com/archives/ubuntu-security-announce/2006-January/000266.html

来源: MANDRIVA

名称: MDKSA-2006:159

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:159

来源: MANDRAKE

名称: MDKSA-2005:234

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:234