aboutsummaryrefslogtreecommitdiffstats
path: root/russian/security/2006/dsa-946.wml
blob: 50206160795a522e23558ecef6f3475d17c57aa0 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

#use wml::debian::translation-check translation="94c7ab265147cf1eeb6bea2f39e54bce51c20831" maintainer="Lev Lamberov"
<define-tag description>отсутствие очистки входных данных</define-tag>
<define-tag moreinfo>
<p>Предыдущее исправление уязвимостей в пакете sudo работало вполне
хорошо, но для некоторых окружений оказалось слишком ограничительным. В связи
с этим внесённые изменения были пересмотрены, и было решено вернуть некоторые переменные
окружения в привилегированный контекст. Поэтому выпускаем данное
обновление.</p>

<p>Опция настройки "env_reset" теперь включена по умолчанию.
Она сохраняет только следующие переменные окружения: HOME, LOGNAME, PATH,
SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE,
LC_* и USER, а также отдельные переменные SUDO_*.</p>

<p>Для полноты ниже приводится текст изначальной рекомендации:</p>

<blockquote>
<p>Было обнаружено, что sudo, привилегированная программа, предоставляющая
ограниченные права суперпользователя специально определённым пользователям, передаёт
некоторые переменные окружения программе, запущенной с повышенными
правами доступа. В случаях изменения путей (напр., для Perl, Python, Ruby
или других языков сценариев) это может приводить к выполнению произвольного
кода от лица привилегированного пользователя, если злоумышленник использует
в сценарии изменённую версию системной библиотеки.</p>

<p>Данное обновление изменяет поведение sudo и ограничивает число
поддерживаемых переменных окружения следующими переменными: LC_*, LANG, LANGUAGE и TERM.
Дополнительные переменные могут быть переданы только через опцию env_check в
/etc/sudoers, что может потребоваться для обеспечения работы некоторых
сценариев.</p>
</blockquote>

<p>В предыдущем стабильном выпуске (woody) эта проблема была исправлена в
версии 1.6.6-1.6.</p>

<p>В стабильном выпуске (sarge) эта проблема была исправлена в
версии 1.6.8p7-1.4.</p>

<p>В нестабильном выпуске (sid) то же поведение будет реализовано
позже.</p>

<p>Рекомендуется обновить пакет sudo. В нестабильном выпуске следует
вручную добавить директиву "Defaults = env_reset" в файл /etc/sudoers.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-946.data"
# $Id$

© 2014-2024 Faster IT GmbH | imprint | privacy policy