2016-1775: sudo: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2016-10-28 19:04): Neues Advisory
Version 2 (2016-11-10 10:22): Für Fedora 23, 24 und 25 stehen Sicherheitsupdates für sudo auf Version 1.8.18p1 im Status 'testing' bereit. Die Schwachstelle CVE-2016-7032 wurde bereits durch ein früheres Sicherheitsupdate auf Version 1.8.15 behoben, dort aber nicht erwähnt.
Version 3 (2016-11-23 10:37): Für openSUSE 13.2 steht ein Sicherheitsupdate bereit, um die Schwachstellen zu beheben.
Version 4 (2016-11-24 10:14): Für die SUSE Linux Enterprise Produkte Server 11 SP4 und 12 SP2, Server for Rasperry Pi 12 SP2, Debuginfo 11 SP4, Desktop 12 SP2 sowie für Software Development Kit 12 SP2 stehen Sicherheitsupdates bereit, um die Schwachstellen zu beheben.
Version 5 (2016-11-25 10:49): Für die SUSE Linux Enterprise 12 SP1 Produkte Server, Desktop und Software Development Kit stehen Sicherheitsupdates bereit, welche zusätzlich die Schwachstelle CVE-2014-9680 adressieren. Diese ältere Schwachstelle ermöglicht einem lokalen, nicht authentifizierten Angreifer einen Denial-of-Service-Zustand herbeizuführen.
Version 6 (2016-12-05 10:47): Für openSUSE Leap 42.2 steht ein Backport-Sicherheitsupdate bereit, welches zusätzlich die Schwachstelle CVE-2014-9680 adressiert. Diese ältere Schwachstelle ermöglicht es einem lokalen, nicht authentifizierten Angreifer, einen Denial-of-Service-Zustand herbeizuführen.
Version 7 (2016-12-05 14:35): Für openSUSE Leap 42.1 steht ein Backport-Sicherheitsupdate bereit, welches zusätzlich die Schwachstelle CVE-2014-9680 adressiert. Diese ältere Schwachstelle ermöglicht es einem lokalen, nicht authentifizierten Angreifer, einen Denial-of-Service-Zustand herbeizuführen.
Version 8 (2016-12-06 13:35): Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, Server, HPC Node und Workstation sowie für Server TUS 7.3 Sicherheitsupdates für sudo bereit.
Version 9 (2016-12-07 10:42): Oracle stellt für Oracle Linux 6 und 7 sowie Oracle VM Server 3.3 und 3.4 Sicherheitsupdates für sudo bereit.
Version 10 (2020-09-28 18:26): Für Ubuntu 14.04 ESM steht ein Sicherheitsupdate für sudo zur Verfügung, mit dem die beiden Schwachstellen behoben werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Zwei Schwachstellen in sudo bis Version 1.8.18 ermöglichen einem lokalen Angreifer mit erweiterten Benutzerrechten das Ausführen beliebigen Programmcodes mit Administratorrechten.

Das Projekt-Team stellt die Version 1.8.18p1 als Sicherheitsupdate zur Verfügung, um die beiden Schwachstellen zu schließen.

Schwachstellen:

CVE-2016-7032

Schwachstelle in sudo ermöglicht das Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2016-7076