Debian DLA-382-1：sudo 安全性更新

high Nessus Plugin ID 87826

語言:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

當將 sudo 設定為允許使用者編輯其已經可在不使用 sudo 的情況下寫入之目錄下的檔案時，他們實際上可以編輯 (讀取與寫入) 任意檔案。Daniel Svartman 報告，如果使用萬用字元指定可編輯檔案，可能會意外引入類似於此的組態，例如：

運算子 ALL=(root) sudoedit /home/*/*/test.txt

sudo 的預設行為已變更，因此其不允許編輯使用者可寫入之目錄中的檔案，或可藉由前往使用者可寫入之目錄中的符號連結到達的檔案。可以停用這些限制，但並不建議這樣做。

針對舊的穩定發行版本 (squeeze)，此問題已在 1.7.4p4-2.squeeze.6 版中修正。

針對舊的穩定發行版本 (wheezy) 和穩定的發行版本 (jessie)，此問題將於近期完成修正。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。