Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Actualización de SUDO

Última Actualización: 4 de Mayo de 2.001 - Viernes

Artículo publicado en el boletín Una-Al-Día de Hispasec, el 20 de Marzo de 2.001.
Publicado también en es.internet.com, el 21 de Marzo de 2.001.

Las versiones de "sudo" previas a la 1.6.3p6 contienen un problema de desbordamiento de búfer que permite que cualquier usuario local ejecute código arbitrario en el servidor, con privilegios de "root" o administrador.

SUDO es una herramienta de administración que permite delegar privilegios de "root" a determinados usuarios y para ciertos comandos en concreto. Ello posibilita, por ejemplo, que determinado grupo de usuarios tenga acceso a ciertas herramientas, con privilegios de administrador.

Las versiones de "sudo" anteriores a la 1.6.3p6 contienen un desbordamiento de búfer que, convenientemente explotado, permite que cualquier usuario local ejecute código arbitrario con privilegios de "root".

El problema se localiza en la gestión de los parámetros de la línea de comandos, donde es posible provocar un desbordamiento una vez que se imprima el mensaje de error. No es necesario disponer de acceso a las herramientas protegidas con "sudo" para poder aprovecharse de este problema de seguridad; cualquier usuario local puede utilizar esta vulnerabilidad.

La recomendación es actualizar "sudo" a la versión 1.6.3p6 o superior, sobre todo si existen usuarios potencialmente maliciosos con acceso al sistema.

Más información:



Python Zope ©2001 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS