MiracleLinux 3sudo-1.7.2p1-13.AXS3 (AXSA:2012-350:01)
critical Nessus Plugin ID 284203
語言:
概要
遠端 MiracleLinux 主機缺少安全性更新。說明
遠端 MiracleLinux 3 主機已安裝一個受到 AXSA:2012-350:01 公告中所提及的弱點影響的套件。Sudo (超級使用者執行) 可讓系統管理員授權特定使用者 (或使用者群組) 在記錄所有命令和引數時以 root 身分執行部分 (或全部) 命令。Sudo 會在每個命令的基礎上運作。此套件並非 shell 的替代品。功能包括限制使用者可在各主機上執行的命令、每條命令的豐富記錄 (提供執行者的明確稽核追踪)、可設定的 sudo 命令逾時以及使用相同的設定檔 (sudoers)。
此版本修正的安全性問題
當設定 Runas 群組時在 1.7.4p5 之前的 sudo 1.7.x 中CVE-2011-0010 check.c 不需要密碼即可執行涉及 gid 變更但無 uid 變更的命令其可允許本機使用者透過 繞過預定的驗證需求sudo 命令的 -g 選項。
修正的錯誤:
在設定為不要求使用者密碼的情況下以 -g 選項執行 sudo 公用程式會導致分割錯誤。這個問題已修正。
在安裝時將 sudoers 項目新增至 nsswitch.conf 檔案 (該檔案在解除安裝時遭到刪除)以便 sudo 工具在 sudo 升級後從 LDAP 伺服器載入 sudoers。
已修正 ldap.conf 檔案中註解字元 (#) 的剖析。
當輸出透過管線重新導向時sudo 未將其輸出格式化為終端機視窗的寬度。
已修正 Runas_Spec 群組比對中的錯誤如預期接受 Runas 群組別名。
先前在切換為無權限的使用者之後sudo 會執行一些 SELinux 相關的初始化
這可能會阻止 SELinux 環境的正確設定並可能造成存取拒絕。
反向移植 SELinux 相關程式碼已修正該問題。
報告 execv(3) 函式失敗之前sudo 會執行可重設錯誤狀態的稽核呼叫因此使工具報告命令成功。這個問題已修正。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 sudo 套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 284203
檔案名稱: miracle_linux_AXSA-2012-350.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
Vendor
Vendor Severity: High
CVSS v2
風險因素: Medium
基本分數: 4.4
時間性分數: 3.3
媒介: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2011-0010
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:miracle:linux:sudo, cpe:/o:miracle:linux:3
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2012/3/15
弱點發布日期: 2011/1/12
參考資訊
CVE: CVE-2011-0010