偵測

MiracleLinux 4sudo-1.7.4p5-7.AXS4 (AXSA:2011-635:01)

critical Nessus Plugin ID 283944

語言:

概要

遠端 MiracleLinux 主機缺少安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝一個受到 AXSA:2011-635:01 公告中所提及的弱點影響的套件。

 Sudo (超級使用者執行) 可讓系統管理員授權特定使用者 (或使用者群組) 在記錄所有命令和引數時以 root 身分執行部分 (或全部) 命令。Sudo 會在每個命令的基礎上運作。此套件並非 shell 的替代品。功能包括限制使用者可在各主機上執行的命令、每條命令的豐富記錄 (提供執行者的明確稽核追踪)、可設定的 sudo 命令逾時以及使用相同的設定檔 (sudoers)。
 此版本修正的安全性問題
 當設定 Runas 群組時在 1.7.4p5 之前的 sudo 1.7.x 中CVE-2011-0010 check.c 不需要密碼即可執行涉及 gid 變更但無 uid 變更的命令其可允許本機使用者透過 繞過預定的驗證需求sudo 命令的 -g 選項。
 修正的錯誤:
 - 在 /etc/sudoers 檔案包含數個主機項目的情況下sudo -l 命令會不正確地報告特定使用者沒有權限在系統上使用 sudo。這個問題已修正。
 - sudoers.ldap 的手冊頁面現已正確包含在套件中。此外已從套件中移除僅構建目的所需的多種 POD 檔案
 - sudo 現在使用的 LDAP 設定檔位置與 nss_ldap 套件在 /etc/nslcd.conf 檔案中的位置相同。
 - 使用 sudo -e 檔案或 sudoedit 檔案命令編輯檔案時編輯器只會記錄為 sudoedit。現在會記錄作為編輯器使用之可執行檔的完整路徑。
 - 已新增有關將 Defaults 指示詞中的visiblepw 選項加入預設 /etc/sudoers 檔案的註解闡明其使用方式。
 - 已將 sudo 升級至上游版本 1.7.4p5其提供許多錯誤修正和增強功能。
 增強功能:
 - sudo 套件現在以 RELRO 連結器旗標構建因為它需要以提升的權限執行。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 sudo 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/2352

Plugin 詳細資訊

嚴重性: Critical

ID: 283944

檔案名稱: miracle_linux_AXSA-2011-635.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 4.4

時間性分數: 3.3

媒介: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2011-0010

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:sudo

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2011/12/28

弱點發布日期: 2011/1/12

參考資訊

CVE: CVE-2011-0010